Dify — это платформа для разработки приложений LLM с открытым исходным кодом. До версии 1.9.0 ответы Dify API на существующие и несуществующие учетные записи различались, что позволяло злоумышленнику перечислять адреса электронной почты, зарегистрированные в Dify. Версия 1.9.0 устраняет проблему.
Показать оригинальное описание (EN)
Dify is an open-source LLM app development platform. Prior to 1.9.0, responses from the Dify API to existing and non-existent accounts differ, allowing an attacker to enumerate email addresses registered with Dify. Version 1.9.0 fixes the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0