Dify — это платформа для разработки приложений LLM с открытым исходным кодом. До версии 1.11.2 Dify уязвим к сохраненной проблеме XSS при рендеринге диаграмм Mermaid в чатах. Это происходит потому, что в конфигурации Dify Mermaid по умолчанию используется уровень безопасности: свободный, что позволяет выполнять потенциально небезопасный контент.
Эта уязвимость исправлена в версии 1.11.2.
Показать оригинальное описание (EN)
Dify is an open-source LLM app development platform. Prior to 1.11.2, Dify is vulnerable to a stored XSS issue when rendering Mermaid diagrams within chats. This occurs because Dify’s default Mermaid configuration uses securityLevel: loose, which allows potentially unsafe content to execute. This vulnerability is fixed in 1.11.2.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0