LLMアプリ開発基盤「Dify」に複数のクリティカル脆弱性

大規模言語モデル（LLM）アプリ開発プラットフォーム「Dify」に情報漏洩や設定の改ざんなど複数の脆弱性が明らかとなった。

「同1.14.1」および以前のバージョンが影響を受ける3件の脆弱性が明らかとなった。

「CVE-2026-41948」は、Pluginデーモンの「REST API」において転送リクエストを操作できるパストラバーサルの脆弱性。テナントのUUIDを把握している場合に、タスク識別子やファイル名パラメータを細工して内部エンドポイントへアクセスされるおそれがある。

「CVE-2026-41947」は、編集者権限における認可バイパスの脆弱性。トレース設定のエンドポイントにおけるテナント所有権の確認不備に起因する。

他テナントのアプリケーションに対するトレース設定を変更することが可能。メッセージや応答が第三者が管理するLLMトレースプロバイダへ転送される可能性がある。

（Security NEXT - 2026/05/19 ） ツイート

PR

関連記事

「Firefox」が複数の脆弱性を修正 - iOS版のアップデートも
「Ivanti Neurons for ITSM」に高リスク脆弱性 - 定例外パッチを公開
「Cloud Foundry UAA」にEC秘密鍵情報が漏洩するおそれ
米当局、「Oracle WebLogic Server」既知脆弱性の悪用に警鐘
「WebSphere App Server」に複数の深刻な脆弱性 - 暫定パッチ公開
エフサス製サーバ管理ソフト「ServerView Agents for Windows」に複数脆弱性
分散型DB「Apache Ignite」に脆弱性 - 修正版が公開
不正なVPN接続を確立できる「PAN-OS」脆弱性 - 悪用を確認
「Plesk」のLinux版に権限昇格の脆弱性 - 2月のリリースで修正済み
Oracleが補完パッチ、5製品35件の脆弱性を修正 - クリティカル11件