Dify Allows Insecure User Role Access Control for APP DSL Exporting 漏洞信息(CVE-2025-32790)

一、漏洞 CVE-2025-32790 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

# Dify 允许不安全的用户角色访问控制用于APP DSL导出

## 漏洞概述

Dify是一款开源的LLM应用程序开发平台。在版本0.6.8及之前的版本中，普通用户被错误地授予了导出APP DSL的权限。

## 影响版本

- 版本 0.6.8 及之前版本受影响
- 已修复于版本 0.6.13

## 漏洞细节

在`/export`功能中，只有管理员用户应该有权限导出DSL。然而，在受漏洞影响的版本中，普通用户也能够执行此操作。

## 影响

该漏洞允许非授权用户导出本应只限于管理员访问的APP DSL，这可能泄露敏感信息或导致未经授权的数据操作。

## 修补建议

更新访问控制机制以实施更严格的用户角色权限，并采用基于角色的访问控制（RBAC）来确保只有具有管理权限的用户才能导出APP DSL。这一问题已在0.6.13版本中被修复。

备注

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Dify Allows Insecure User Role Access Control for APP DSL Exporting

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Dify is an open-source LLM app development platform. In versions 0.6.8 and prior, a vulnerability was identified in the DIFY AI where normal users are improperly granted permissions to export APP DSL. The feature in '/export' should only allow administrator users to export DSL. A workaround for this vulnerability involves updating the access control mechanisms to enforce stricter user role permissions and implementing role-based access controls (RBAC) to ensure that only users with admin privileges can export the APP DSL. This vulnerability is fixed in 0.6.13.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

访问控制不恰当

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-32790 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-32790 的情报信息

https://github.com/langgenius/dify/pull/5841 x_refsource_MISC
https://github.com/langgenius/dify/security/advisories/GHSA-jp6m-v4gw-5vgp x_refsource_CONFIRM
https://github.com/langgenius/dify/commit/59ad091e69736bc9dc1a3bace62ec0a232346246 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2025-32790

一、 漏洞 CVE-2025-32790 基础信息

漏洞信息

备注

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-32790 的公开POC

三、漏洞 CVE-2025-32790 的情报信息

一、漏洞 CVE-2025-32790 基础信息