Kembali ke ShazfaTech Lihat Semua Artikel
Tools Cyber Security
Peneliti Merinci Kelemahan DifyTap di Dify yang Dapat Mengekspos Obrolan AI di Seluruh Penyewa
thehackernews. com 23 Juni 2026 PT Shazfatech Digital Solution

Peneliti Merinci Kelemahan DifyTap di Dify yang Dapat Mengekspos Obrolan AI di Seluruh Penyewa

Peneliti keamanan siber telah mengungkapkan rincian empat kerentanan di Dify, platform alur kerja agen sumber terbuka dengan lebih dari 146.000 bintang GitHub, yang memungkinkan penyerang membaca konversi kecerdasan…

2 menit baca Tools Cyber Security 1 kali dibaca

Sumber: thehackernews. com

Insight ini dipublikasikan oleh PT Shazfatech Digital Solution dengan brand ShazfaTech. Sumber asli tetap dicantumkan agar pembaca dapat menelusuri referensi utama dan konteks artikel secara lebih utuh.

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Peneliti keamanan siber telah mengungkapkan rincian empat kerentanan di Dify, platform alur kerja agen sumber terbuka dengan lebih dari 146.000 bintang GitHub, yang memungkinkan…

Peneliti keamanan siber telah mengungkapkan rincian empat kerentanan di Dify, platform alur kerja agen sumber terbuka dengan lebih dari 146.000 bintang GitHub, yang memungkinkan penyerang membaca konversi kecerdasan buatan (AI) secara diam-diam dari aplikasi pelanggan lain tanpa memerlukan autentikasi.

Bacaan Lanjutan Seputar Tools Cyber Security

Jika Anda ingin memperdalam topik ini, beberapa artikel berikut masih berada dalam konteks yang berhubungan dan layak dibaca setelah artikel ini.

Cacat keamanan ini memungkinkan penyerang membaca obrolan AI pribadi dari aplikasi pelanggan lain, sehingga menciptakan saluran eksfiltrasi terselubung untuk setiap pesan dan respons model.

Secara terpisah, Zafran mengatakan pihaknya juga menemukan bahwa tumpukan penguraian file Dify mengandalkan versi PDFium, pustaka C++ sumber terbuka untuk rendering PDF, yang rentan terhadap CVE-2024-5846 (skor CVSS: 8. 8), sebuah bug penggunaan setelah bebas selama dua tahun yang memungkinkan penyerang jarak jauh berpotensi mengeksploitasi kerusakan tumpukan melalui file PDF yang dibuat.

CVE-2026-41949 (skor CVSS: 7. 5/5. 9) - Kerentanan bypass otorisasi di titik akhir pratinjau file ("/console/api/files/{file_id}/preview") yang memungkinkan pengguna yang diautentikasi membaca hingga 3.000 karakter dokumen yang diunggah di seluruh penyewa dan ruang kerja hanya dengan menggunakan UUID file.

CVE-2026-41950 (skor CVSS: 6. 5) - Kerentanan bypass otorisasi yang memungkinkan pengguna yang diautentikasi membaca seluruh konten file yang diunggah oleh pengguna lain dalam penyewa yang sama dengan menyediakan UUID file arbitrer dalam susunan file permintaan pesan obrolan.

“DifyTap menunjukkan tantangan yang ada pada visibilitas kerentanan, khususnya pada gambar kontainer, di mana perbedaan antara penerapan dapat menciptakan kesenjangan visibilitas yang tidak dapat dideteksi oleh pemindai tradisional,” kata perusahaan itu.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com

Lihat Semua Artikel Tentang Redaksi Kebijakan Editorial Profil Publisher Kontak Privasi

Topik yang Berhubungan

Lihat Semua Artikel

Yang Paling Sering Dibaca

Lihat Semua Artikel