Vulnerabilidad en Dify (CVE-2025-49149)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

17/06/2025

Última modificación:

18/06/2025

Descripción

Dify es una plataforma de desarrollo de aplicaciones LLM de código abierto. En la versión 1.2.0, el filtrado de la entrada del usuario por parte de las aplicaciones web es insuficiente. Los atacantes pueden aprovechar las vulnerabilidades del sitio web para inyectar código malicioso en las páginas web. Esto puede provocar un ataque de Cross-site Scripting (XSS) cuando un usuario navega por estas páginas. Al momento de la publicación, no se conoce ninguna versión parcheada.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Bajo
Availability (SA): Ninguno

Puntuación base 4.0

5.30

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/langgenius/dify/security/advisories/GHSA-grmh-ww4v-5cgj