漏洞描述
Dify 是一款开源的、基于大型语言模型(LLM)的应用开发平台。在其特定版本中,部分功能在处理用户提供的URL时,未能对输入进行充分的验证和过滤。这导致攻击者可以构造一个恶意的URL,诱使Dify的后端服务器向其指定的任意内部或外部网络地址发起请求。这种行为构成服务器端请求伪造(SSRF)漏洞。
Dify /console/api/remote-files/upload 服务器端请求伪造漏洞
PoC代码
暂无相关漏洞推荐
- western-digital-mycloud-multi-uploadify-file-upload: Western Digital MyCloud Multi Uploadify File Upload
- POC weaver-lazyuploadify-file-upload: OA E-Office LazyUploadify - Arbitrary File Upload
- POC weaver-uploadify-file-upload: OA E-Office Uploadify - Arbitrary File Upload
- POC CVE-2025-11750: Dify - User Enumeration via "Account not found" Message
- Dify存在SSRF漏洞(CVE-2025-29720)
- Dify 任意用户密码重置绕过漏洞
- dify 安全漏洞
- 赛蓝 企业管理系统 SubmitUploadify 未授权 任意文件上传漏洞
- 博采网络-建站服务-uploadify.php文件上传