Kritische CORS-Lücke in Dify v1.9.1 - CVE-2025-63386
⚠️ CVE-Referenzen:
CVE-2025-63386
Zusammenfassung
Eine kritische Sicherheitslücke in Dify v1.9.1 ermöglicht es Angreifern, über den Endpunkt /console/api/setup authentifizierte Anfragen von beliebigen externen Domains zu stellen. Die mangelhafte CORS-Konfiguration reflektiert den Origin-Header und setzt Access-Control-Allow-Credentials: true, was unberechtigten Zugriff auf geschützte Ressourcen erlaubt. Der Hersteller bestreitet den Sicherheitsmangel, da die Endpunkt-Konfiguration angeblich absichtlich so gestaltet ist.
A Cross-Origin Resource Sharing (CORS) misconfiguration vulnerability exists in Dify v1.9.1 in the /console/api/setup endpoint. The endpoint implements an insecure CORS policy that reflects any Origin header and enables Access-Control-Allow-Credentials: true, permitting arbitrary external domains to make authenticated requests. NOTE: the Supplier disputes this because the endpoint configuration is intentional to support bootstrap.
Quelle: app.opencve.io