← Mein Newsfeed newsfeed.avintaris.com
⚙️ Stack — AI & Data

➡️ Dify.ai

Dify ist Open-Source LLM/Agentic-Workflow-Plattform (100k+ Stars). **DEPLOYED 1.14.1 ist von kritischer CVE-2026-41948 (CVSS 9.2 Path Traversal) betroffen** — authentifizierte User können aus Tenant ausbrechen, auf interne Plugin-Daemon-Endpunkte zugreifen. Einen Tag nach CVE-Disclosure wurde **v1.14.2 (19.05.2026)** als Patch-Release veröffentlicht, das zwei GHSAs schließt, Tenant-Isolation härtet und Plugin-Daemon auf 0.6.1 anhebt. Docker-Compose-Env-Struktur unter docker/envs/** reorganisiert (Custom-Configs müssen neu angewendet werden). **Upgrade auf 1.14.2 DRINGEND empfohlen.**

Dify im razzfazz.ai Stack als Workflow-/Agent-Builder (api/worker/beat 1.14.1, plugin-daemon 0.6.0-local, sandbox 0.2.15). Zentraler Layer für Buddy-Templates und Kunden-AI-Workflows, daher Tenant-Isolation und Plugin-Daemon-Härtung sicherheitskritisch.

2 News · Letzte: 2026-05-19 📡 RSS
News-Verlauf
19.05.2026 ·GitHub·erfasst 22.05.2026

Dify v1.14.2 — Sicherheits-Hotfix, Tenant-Isolation, Plugin-Daemon 0.6.1

Stable Patch-Release (Latest auf GitHub). Schließt zwei kritische Tenant-Isolation-Bugs: GHSA-48xc-wmw8-3jr3 (App-Trace-Config-Endpunkte) und GHSA-2qwc-c2cc-2xwv (FilePreview-API Text-Extract). Builtin-Tool-Credential-Updates auf Workspace-Admins/Owners beschränkt, stale Tenant-Credentials beim Encryption-Key-Reset gepurged. Plugin-Daemon auf 0.6.1. Workflow-Reliability: HITL-Workflow-Tracing wiederhergestellt, GraphEngine-Min-Worker-Count erhöht. **BREAKING:** (1) DB-Migration für konfigurierbare Explore-App-Kategorien — läuft beim Start. (2) Docker-Env unter docker/envs/** kategorisiert gesplittet → Custom-Compose-Configs müssen reapplied werden. (3) Self-hosted generieren SECRET_KEY automatisch wenn leer und persistieren ihn.
**PFLICHT-Upgrade von 1.14.1 → 1.14.2.** Schließt CVE-2026-41948 (CVSS 9.2) für unsere Deployments. Plugin-Daemon von 0.6.0-local auf 0.6.1 mitziehen (compatibility: patch). Compose-Env-Overrides für neue docker/envs/**-Struktur anpassen — Test auf Staging Pflicht.
19.05.2026 ·RedPacket Security·erfasst 22.05.2026

CVE-2026-41948 — Critical Path Traversal in Plugin Daemon Forwarding (betrifft deployed 1.14.1)

Authentifizierte User können Requests an interne REST-API des Plugin-Daemons durch unzureichende URL-Path-Sanitization manipulieren. Mittels unencoded Dot-Sequences in Task-Identifiern oder manipulierten Filename-Parametern Tenant-Path verlassen, interne Endpunkte wie Debug-Interfaces erreichbar — benötigt nur UUID des Ziel-Tenants. **CVSS 4.0: 9.2 (Critical)**, CVSS 3.1: 7.7. Betrifft Dify ≤ 1.14.1. Auf Dify Cloud kritisch wegen unauthenticated Self-Registration. **Fix:** Upgrade auf v1.14.2.
**HOCH — DIREKT relevant für deployed 1.14.1.** razzfazz.ai Box läuft anfällige Version. Auch wenn Tenants intern/vertrauenswürdig sind: Defense-in-Depth. **Action:** v1.14.2 auf Staging, Compose-Env-Restruktur testen, dann auf Box deployen — innerhalb der nächsten 7 Tage.
← zurück zum Dashboard
Generiert: 22.05.2026 21:15 · RSS · Repo