https://newsfeed.avintaris.com News zum Thema Dify.ai de Fri, 22 May 2026 21:22:05 +0000 https://github.com/langgenius/dify/releases/tag/1.14.2 https://github.com/langgenius/dify/releases/tag/1.14.2 Tue, 19 May 2026 12:00:00 +0000 Dify.ai Stable Patch-Release (Latest auf GitHub). Schließt zwei kritische Tenant-Isolation-Bugs: GHSA-48xc-wmw8-3jr3 (App-Trace-Config-Endpunkte) und GHSA-2qwc-c2cc-2xwv (FilePreview-API Text-Extract). Builtin-Tool-Credential-Updates auf Workspace-Admins/Owners beschränkt, stale Tenant-Credentials beim Encryption-Key-Reset gepurged. Plugin-Daemon auf 0.6.1. Workflow-Reliability: HITL-Workflow-Tracing wiederhergestellt, GraphEngine-Min-Worker-Count erhöht. **BREAKING:** (1) DB-Migration für konfigurierbare Explore-App-Kategorien — läuft beim Start. (2) Docker-Env unter docker/envs/** kategorisiert gesplittet → Custom-Compose-Configs müssen reapplied werden. (3) Self-hosted generieren SECRET_KEY automatisch wenn leer und persistieren ihn. https://www.redpacketsecurity.com/cve-alert-cve-2026-41948-langgenius-dify/ https://www.redpacketsecurity.com/cve-alert-cve-2026-41948-langgenius-dify/ Tue, 19 May 2026 12:00:00 +0000 Dify.ai Authentifizierte User können Requests an interne REST-API des Plugin-Daemons durch unzureichende URL-Path-Sanitization manipulieren. Mittels unencoded Dot-Sequences in Task-Identifiern oder manipulierten Filename-Parametern Tenant-Path verlassen, interne Endpunkte wie Debug-Interfaces erreichbar — benötigt nur UUID des Ziel-Tenants. **CVSS 4.0: 9.2 (Critical)**, CVSS 3.1: 7.7. Betrifft Dify ≤ 1.14.1. Auf Dify Cloud kritisch wegen unauthenticated Self-Registration. **Fix:** Upgrade auf v1.14.2.