Falhas de exposição de dados ameaçam o Dify, plataforma de LLMOps usada por 1 milhão de apps
Aprofundamento CEVIU
Aprofundamento
A descoberta das falhas do DifyTap expõe uma falha crítica de isolamento entre tenants em plataformas de LLMOps, um risco especialmente grave em ambientes multi-tenant onde aplicações de IA processam dados sensíveis. A CVE-2026-41947, com CVSS 9.1, permite que qualquer usuário autenticado configure tracing em aplicações alheias, criando um canal persistente de exfiltração de mensagens e respostas, tudo sem detecção imediata. Já a CVE-2026-41948 (CVSS 9.4) é ainda mais perigosa: o plugin daemon do Dify permite chamadas arbitrárias à API e path traversal, abrindo caminho para ataques diretos a outros ambientes ou até execução indireta de comandos via manipulação de plugins.
Além disso, as falhas de permissão nas funções de identificação e acesso a arquivos (CVE-2026-41949 e CVE-2026-41950) mostram que o controle de acesso no Dify não foi projetado com segregação rigorosa por tenant, um erro comum em plataformas open source que priorizam funcionalidade sobre segurança. O uso prolongado de uma biblioteca PDFium vulnerável (até dezembro de 2025) agrava o cenário, indicando falhas na gestão de dependências de terceiros, um vetor clássico de ataque em pipelines de IA.
Por que isso importa
O Dify é usado por mais de 1 milhão de aplicações em setores diversos, incluindo saúde, finanças e governo, onde vazamentos de conversas ou documentos podem gerar impacto regulatório sério, como multas pela LGPD ou comprometimento de propriedade intelectual. A natureza das falhas permite que um invasor com credenciais mínimas extraia dados em larga escala, mesmo sem privilégios elevados. Isso transforma o Dify em um alvo estratégico para APTs e cibercriminosos focados em cadeias de suprimento de IA. A recomendação de regras de WAF para mitigar a CVE-2026-41948 mostra que a correção não é apenas técnica, mas operacional, muitas empresas precisarão ajustar suas defesas perimetrais enquanto fazem o patch.
Este caso reforça a urgência de auditorias de segurança em ferramentas de LLMOps, muitas vezes tratadas como infraestrutura invisível. Plataformas que orquestram modelos de IA não podem ter brechas de isolamento tão básicas. A confiança no ecossistema de IA depende disso.
Linha do tempo
Divulgação da vulnerabilidade CVE-2024-5846, bug use-after-free no Chromium PDFium.
Dify finaliza o uso da versão vulnerável do PDFium (126.0.6462.0) no endpoint de visualização de arquivos.
Zafran Security divulga o DifyTap, conjunto de quatro falhas críticas no Dify, incluindo CVE-2026-41947 e CVE-2026-41948, e lança patches na versão 1.14.2.
Perguntas frequentes
Quem pode explorar essas falhas no Dify?
Qualquer pessoa com conta no console do Dify pode explorar as falhas. Não é necessário privilégio administrativo. Basta estar cadastrado para acessar dados de outras organizações em instâncias multi-tenant.
Como corrigir as vulnerabilidades do DifyTap?
Atualize imediatamente para a versão 1.14.2 do Dify, que corrige todas as quatro falhas. Além disso, implemente regras de WAF para bloquear requisições maliciosas ao endpoint do plugin daemon, especialmente para a CVE-2026-41948.
O que é path traversal e por que é perigoso no plugin daemon?
Path traversal permite que um atacante acesse arquivos fora do diretório permitido, navegando pela estrutura do sistema. No plugin daemon do Dify, isso pode expor ícones, configurações ou scripts de outros tenants, facilitando ataques direcionados ou coleta de inteligência.
Por que a falha no PDFium é relevante se já foi corrigida?
A biblioteca PDFium vulnerável foi usada por mais de um ano em produção. Qualquer arquivo processado nesse período pode ter sido explorado. Organizações devem revisar logs do preview endpoint para detectar acessos suspeitos durante esse intervalo.
Fontes
- securityweek.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 25 de junho de 2026
- Editoria
- CEVIU Segurança da Informação