一、 漏洞 CVE-2025-11750 基础信息
漏洞信息
# LangGenius Dify-web 用户枚举漏洞
## 漏洞概述
在 langgenius/dify-web 1.6.0 版本中,认证机制因返回不同的错误信息,导致用户账户存在性被泄露。
## 影响版本
- `langgenius/dify-web` 版本 `1.6.0`
## 漏洞细节
- 登录或注册时:
- 若使用**不存在的用户名或邮箱**,系统返回类似 `"account not found"` 的提示;
- 若用户名或邮箱存在,但密码错误,则返回**另一种不同的错误消息**。
- 攻击者可利用这种响应差异,通过分析错误消息进行账户枚举(Account Enumeration)攻击,从而确认哪些账号有效。
## 漏洞影响
- 可被用于:
- 针对性社会工程攻击(Social Engineering)
- 暴力破解攻击(Brute Force Attacks)
- 碰撞凭证攻击(Credential Stuffing)
- 导致用户账户安全性下降,系统面临潜在的恶意探测风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
User Enumeration via Distinct Error Messages in langgenius/dify-web
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In langgenius/dify-web version 1.6.0, the authentication mechanism reveals the existence of user accounts by returning different error messages for non-existent and existing accounts. Specifically, when a login or registration attempt is made with a non-existent username or email, the system responds with a message such as "account not found." Conversely, when the username or email exists but the password is incorrect, a different error message is returned. This discrepancy allows an attacker to enumerate valid user accounts by analyzing the error responses, potentially facilitating targeted social engineering, brute force, or credential stuffing attacks.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
标准化错误处理机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
dify 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
dify是LangGenius开源的一个开源的 LLM 应用程序开发平台。 dify 1.6.0版本存在安全漏洞,该漏洞源于身份验证机制对不存在的账户和现有账户返回不同的错误消息,可能导致账户枚举攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11750 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | A user enumeration vulnerability exists in langgenius/dify, where the login API leaks information about whether a user account exists or not. When an invalid/non-existent email is used during login, the API returns a distinct error message such as "account_not_found" or "Account not found.", allowing attackers to identify valid accounts. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-11750.yaml | POC详情 |
三、漏洞 CVE-2025-11750 的情报信息
-
标题: huntr - The world’s first bug bounty platform for AI/ML -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-11750
四、漏洞 CVE-2025-11750 的评论
暂无评论