一、 漏洞 CVE-2025-32796 基础信息
漏洞信息
                                        # Dify 允许通过API进行未经授权的应用启用/禁用操作

### 漏洞概述

Dify 是一个开源的LLM应用开发平台。在版本 0.6.12 之前,存在一个漏洞,允许普通用户通过API启用或禁用应用程序,尽管Web UI上的相应按钮被禁用了并且普通用户没有权限进行此类更改。

### 影响版本

- 所有低于 0.6.12 的版本

### 漏洞细节

该访问控制漏洞使非管理员用户能够未经授权的更改,可能导致应用功能和可用性的中断。

### 影响

非管理员用户可以通过API绕过Web UI上的限制来启用或禁用应用程序,这会破坏应用的功能和影响其可用性。

### 修复措施

- 更新至版本 0.6.12
- 在API接入控制机制中实现更严格的用户角色权限管理
- 实施基于角色的访问控制(RBAC),以确保只有管理员可以发送启用或禁用应用的请求。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Dify Allows Unauthorized APP Enable/Disable via API
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Dify is an open-source LLM app development platform. Prior to version 0.6.12, a vulnerability was identified in the DIFY where normal users can enable or disable apps through the API, even though the web UI button for this action is disabled and normal users are not permitted to make such changes. This access control flaw allows non-admin users to make unauthorized changes, which can disrupt the functionality and availability of the APPS. This issue has been patched in version 0.6.12. A workaround for this vulnerability involves updating the API access control mechanisms to enforce stricter user role permissions and implementing role-based access controls (RBAC) to ensure that only users with admin privileges can send enable or disable requests for apps.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
访问控制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
dify 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
dify是LangGenius开源的一个开源的 LLM 应用程序开发平台。 dify 0.6.12之前版本存在安全漏洞,该漏洞源于普通用户可通过API启用或禁用APP。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-32796 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-32796 的情报信息
四、漏洞 CVE-2025-32796 的评论

暂无评论

发表评论