CVE-2025-63387
Mis à jour :
Accès Non Authentifié aux Fonctionnalités Système dans Dify
La version 1.9.1 de Dify présente une vulnérabilité de contrôle d’accès non sécurisé. Un attaquant non authentifié peut exploiter cette faille en envoyant des requêtes GET vers l’endpoint /console/api/system-features. L’absence de vérifications d’autorisation adéquates permet à quiconque d’accéder à des données sensibles de configuration du système sans nécessiter d’authentification.
Points Clés :
- Application Affectée : Dify v1.9.1
- Type de Vulnérabilité : Permissions non sécurisées / Contrôle d’accès défaillant
- Endpoint Vulnérable :
/console/api/system-features - Impact Potentiel : Accès non autorisé à des informations de configuration système sensibles.
Vulnérabilité Identifiée :
- CVE : CVE-2025-63387
- Description de la faiblesse : L’endpoint
/console/api/system-featuresne met pas en œuvre de vérifications d’autorisation appropriées, permettant ainsi un accès anonyme.
Scores de Risque (CVSS 3.1) :
- Score de base : 7.5
- Vecteur : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N (Accès réseau, faible complexité, aucune privilège requis, aucune interaction utilisateur requise, périmètre inchangé, impact confidentiel élevé, aucun impact d’intégrité, aucun impact de disponibilité).
Recommandations :
Bien que l’article ne fournisse pas de recommandations directes, la nature de la vulnérabilité suggère la nécessité de :
- Mettre à jour Dify : Appliquer les correctifs dès qu’ils sont disponibles.
- Renforcer les contrôles d’accès : S’assurer que tous les endpoints sensibles nécessitent une authentification et une autorisation appropriées.