DifyTap öffnete fremde KI-Chats in Dify : Vier Schwachstellen gefährdeten Mandantentrennung und Dateiabrufe

Die Schwachstellen wurden von Zafran Security unter dem Namen DifyTap zusammengefasst. Sie betreffen Dify, eine Open-Source-Plattform mit mehr als 146.000 Sternen auf GitHub, mit der Unternehmen KI-Anwendungen und agentische Arbeitsabläufe erstellen können. Solche Workflows verbinden Sprachmodelle, Datenquellen, Werkzeuge und Automatisierungen miteinander.

Das Problem war die Reichweite der Fehler. Angreifer hätten nicht nur auf eigene Inhalte zugreifen können, sondern unter bestimmten Bedingungen auch auf Unterhaltungen aus Anwendungen anderer Kunden. Sichtbar hätten dabei sowohl die Eingaben der Nutzer als auch die Antworten der KI-Modelle werden können.

Zafran-Analysten Ido Shani und Gal Zaban beschreiben die Lage so: Zwei der Schwachstellen hatten kritischen Schweregrad, zwei konnten ohne Anmeldung ausgenutzt werden, und drei wirkten sich mandantenübergreifend aus. In der Cloud-Version von Dify hätte das bedeutet, dass Daten eines Kunden für einen anderen Kunden erreichbar werden.

Damit ging es nicht um einen isolierten Anzeigefehler oder einen einzelnen unzureichend geschützten Download. Betroffen war die Mandantentrennung. Sie soll in Cloud-Diensten sicherstellen, dass jeder Kunde nur seine eigenen Anwendungen, Dateien, Chats und Konfigurationen sieht. Genau diese Grenze war bei mehreren Fehlern nicht zuverlässig genug durchgesetzt.

Wenn Tracing zum Datenabfluss wird

Ein besonders schwerwiegender Fehler betraf die Trace-Konfigurationen von Anwendungen. Tracing dient eigentlich dazu, Abläufe, Eingaben, Ausgaben und Fehler in KI-Anwendungen nachvollziehbar zu machen. Fehlen dabei Besitzprüfungen, wird diese Diagnosefunktion jedoch zur Abflussleitung.

Angreifer konnten laut Zafran eigene Tracing-Ziele für Anwendungen setzen, die ihnen nicht gehörten. Da sich jeder frei für ein Dify-Konto registrieren kann, ließ sich daraus ein dauerhaftes Exfiltrationsszenario bauen: Nachrichten und Modellantworten aus öffentlich erreichbaren Anwendungen konnten an einen vom Angreifer kontrollierten Trace-Anbieter umgeleitet werden. Die Forscher beschreiben dieses Risiko als „persistenten Exfiltrationskanal für alle Nachrichten und Antworten“ einer Anwendung.

Interne Schnittstellen und fremde Dateien

Weitere Fehler betrafen den Zugriff auf den internen Plugin Daemon. Durch unzureichende Bereinigung von Pfaden konnten Anfragen so manipuliert werden, dass sie an interne Programmierschnittstellen weitergereicht wurden. Solche Schnittstellen sind normalerweise nicht für direkte Nutzerzugriffe gedacht und können besonders kritisch sein, weil sie häufig mächtige Verwaltungs- oder Integrationsfunktionen bereitstellen.

Zudem konnten Angreifer Dokumente anderer Mandanten teilweise einsehen. Bei einem Fehler reichte die eindeutige Kennung einer Datei aus, um bis zu 3.000 Zeichen einer fremden Datei über die Vorschaufunktion abzurufen. Ein weiterer Fehler erlaubte es angemeldeten Nutzern, innerhalb desselben Mandanten vollständige Dateien anderer Nutzer zu lesen, wenn sie deren Datei-Kennung in eine Chat-Anfrage einfügten.

Die gemeldeten Schwachstellen

• CVE-2026-41947, Common Vulnerability Scoring System (CVSS) 9.1: Autorisierungsumgehung, durch die angemeldete Editor-Nutzer Trace-Konfigurationen für beliebige Anwendungen setzen und aktivieren konnten, unabhängig vom Mandantenbesitz.
• CVE-2026-41948, CVSS 9.4: Pfadmanipulation, durch die angemeldete Nutzer Anfragen an die interne Representational State Transfer (REST)-Programmierschnittstelle des Plugin Daemon weiterleiten und private Endpunkte erreichen konnten.
• CVE-2026-41949, CVSS 7.5 beziehungsweise 5.9: Autorisierungsumgehung in der Dateivorschau „/console/api/files/{file_id}/preview“, mit der angemeldete Nutzer über die Datei-Kennung bis zu 3.000 Zeichen fremder Dokumente über Mandanten und Arbeitsbereiche hinweg lesen konnten.
• CVE-2026-41950, CVSS 6.5: Autorisierungsumgehung, durch die angemeldete Nutzer vollständige Dateien anderer Nutzer im selben Mandanten abrufen konnten, wenn sie eine beliebige Datei-Kennung in der Dateienliste einer Chat-Nachricht angaben.

Zusätzlich entdeckte Zafran Security ein weiteres Risiko in der Dateiverarbeitung von Dify. Die Plattform nutzte eine verwundbare Version von PDFium. Das ist eine Open-Source-Bibliothek, die PDF-Dateien verarbeitet und sichtbar macht, etwa für Vorschauen oder das Auslesen von Inhalten.

Die eingesetzte PDFium-Version war für CVE-2024-5846 anfällig. Dabei handelt es sich um einen bereits zwei Jahre alten Use-after-free-Fehler. Vereinfacht gesagt greift ein Programm dabei auf einen Speicherbereich zu, der eigentlich bereits freigegeben wurde. Das kann zu Speicherfehlern führen und in bestimmten Fällen von Angreifern ausgenutzt werden.

Bei Dify wäre das besonders problematisch, wenn Nutzer präparierte PDF-Dateien hochladen oder verarbeiten lassen. Eine solche Datei könnte die verwundbare Bibliothek gezielt in einen fehlerhaften Zustand bringen und dadurch Speicherbeschädigung auslösen. Der Fehler lag also nicht direkt in der KI-Logik, sondern in einer eingebundenen Komponente, die Dokumente für die Plattform verarbeitet.

Was Betreiber jetzt beachten sollten

Nach koordinierter Offenlegung wurden alle Schwachstellen außer CVE-2026-41948 in Version 1.14.2 behoben. Für den noch offenen Fehler ist eine Korrektur in der nächsten Dify-Version angekündigt.

Für Betreiber zeigt DifyTap, dass KI-Plattformen nicht nur auf Modell- und Prompt-Ebene geschützt werden müssen. Ebenso wichtig sind Mandantentrennung, Besitzprüfungen, sichere interne Schnittstellen, Dateiisolierung und vollständige Sichtbarkeit in Container-Images. Zafran warnt, dass gerade unterschiedliche Bereitstellungen in Containern Lücken erzeugen können, die klassische Scanner nicht zuverlässig erkennen.