Dify

Pesquisadores de cibersegurança revelaram quatro vulnerabilidades na Dify, uma plataforma de workflow open-source com mais de 146.000 estrelas no GitHub. Codenomeadas DifyTap pela Zafran Security, as falhas permitem que atacantes leiam conversas de inteligência artificial (IA) de outros clientes sem necessidade de autenticação. Dentre as vulnerabilidades, duas são de severidade crítica e três têm impacto cross-tenant, expondo dados de um cliente a outro. As falhas possibilitam a leitura de chats privados, a manipulação de requisições para a API interna da Dify e a visualização de documentos de outros inquilinos. Além disso, a Dify utiliza uma versão vulnerável da biblioteca PDFium, que pode ser explorada por meio de arquivos PDF maliciosos. Após a divulgação responsável, a Dify lançou uma atualização para corrigir a maioria das vulnerabilidades, exceto uma que deve ser abordada em uma versão futura. Este caso destaca a importância da visibilidade de vulnerabilidades, especialmente em ambientes de multi-tenancy, onde a segurança dos dados é crítica.