つみかさね

CVE-2026-41948

Critical(9.4)

CVE-2026-41948 — Dify パストラバーサル・Plugin Daemon内部API不正アクセス

公開日: 2026-05-27データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
DifyDify AI≤ 1.14.1

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Difyのバージョンを確認する
  2. 2バージョン1.14.1以前の場合は即時Dify 1.14.2以降へアップデートする
  3. 3Dify Cloudを使用している場合はアップデートが適用されているか確認する
  4. 4セルフホスト環境ではPlugin Daemonへの外部アクセスをネットワークレベルで制限することを検討する

影響対象

Dify 1.14.1以前の利用者(セルフホスト・クラウド双方)

補足

  • -Dify Cloudは無料自己登録が可能なため攻撃難易度が低い。早急な対応を推奨します
CVEDifyパストラバーサルAILLMプラットフォーム内部API

概要

AIアプリ開発プラットフォームDify(バージョン1.14.1以前)において、認証済みユーザーが不十分なURLパスのサニタイズを悪用し、Plugin Daemonの内部REST APIにアクセスできるパストラバーサル脆弱性が確認されました(CVE-2026-41948)。

タスク識別子のドットシーケンスやファイル名パラメータを操作することで、デバッグインターフェイス等の内部エンドポイントにアクセスでき、被害テナントのUUIDを知るだけで攻撃が成立します。Dify Cloudでは無料自己登録が可能なため、実質的に誰でも攻撃者になれる状態です。

CVSSベクトル

項目
CVSSスコア9.4(Critical)
CWECWE-23(相対パストラバーサル)
攻撃元区分(AV)ネットワーク
攻撃条件の複雑さ(AC)
必要な特権レベル(PR)低(認証済みユーザー)
ユーザー関与(UI)不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)

影響を受けるソフトウェア

製品ベンダー影響バージョン
DifyDify AI1.14.1以前

修正バージョンと回避策

  • 修正バージョン: Dify 1.14.2以降
  • Dify公式リポジトリから最新バージョンへアップデートしてください
  • セルフホスト環境では、Plugin Daemonへの外部アクセスをネットワークレベルでブロックすることも一時的な緩和策になります
  • Dify Cloudを使用している場合はアップデートが適用されているか確認してください

関連リンク

データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41947Dify トレース設定エンドポイント認可バイパスCVSS 9.1

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41948
GitHub PR #35796:https://github.com/langgenius/dify/pull/35796
Huntr:https://huntr.com/bounties/35b7ad59-e35d-443f-bf77-387bfb932ec0
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。