Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en langgenius/dify (CVE-2024-10252)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
20/03/2025
Última modificación:
20/03/2025

Descripción

Una vulnerabilidad en las versiones de langgenius/dify anteriores a la v0.9.1 permite la inyección de código mediante solicitudes SSRF internas en el servicio de la sandbox de Dify. Esta vulnerabilidad permite a un atacante ejecutar código Python arbitrario con privilegios de root dentro del entorno de la sandbox, lo que podría provocar la eliminación completa del servicio de la sandbox y causar daños irreversibles.