漏洞描述
Dify 是一款开源的、基于大型语言模型(LLM)的应用开发平台。在其特定版本中,部分功能在处理用户提供的URL时,未能对输入进行充分的验证和过滤。这导致攻击者可以构造一个恶意的URL,诱使Dify的后端服务器向其指定的任意内部或外部网络地址发起请求。这种行为构成服务器端请求伪造(SSRF)漏洞。
Dify /console/api/remote-files/upload 服务器端请求伪造漏洞
PoC代码
暂无相关漏洞推荐
-
Dify存在SSRF漏洞(CVE-2025-29720) 无POC
2025-07-23 | Dify在 Dify v1.0 中发现了一个服务器端请求伪造(Server-Side Request Forgery, SSRF)漏洞,该漏洞位于`controllers.console.remote_fil... -
Dify 任意用户密码重置绕过漏洞 无POC
2025-04-25 | Dify逻辑漏洞是指应用程序中存在的安全缺陷,它允许未经授权的用户通过非正常途径访问或操作系统资源,导致敏感信息泄露、数据篡改、服务中断等安全问题。这类漏洞通常是由于程序设计不当、权限控制不严、输入验证不足或... -
dify 安全漏洞 无POC
2025-04-25 | Difydify是LangGenius开源的一个开源的 LLM 应用程序开发平台。 dify v0.10.1版本存在安全漏洞,该漏洞源于未验证密码重置代码,可能导致账户完全被控制。 -
eoffice-v9-uploadify-fileupload: 泛微 E-Office v9.5 uploadify 任意文件上传漏洞 POC
2025-09-01 | eoffice v9weaver E-Office v9.5 file upload vulnerability official website:https://www.e-office.cn/ FOFA: app=&... -
LemonLDAP::NG 操作系统命令注入漏洞 无POC
2025-09-20 00:03:21 | LemonLDAP::NGLemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG 2.16.7之前版本和2.17版本至2.21.3之前版本存在操作系统命令注入...