DifyTap: cuatro vulnerabilidades en la plataforma de IA Dify exponen chats y documentos entre inquilinos
Resumen rápido
Zafran Security ha revelado DifyTap, un conjunto de cuatro fallos en Dify —usada por más de un millón de aplicaciones de IA— que incluye dos vulnerabilidades críticas (CVSS 9.4 y 9.1) y permite el acceso a conversaciones y documentos de otros inquilinos.
Zafran Security ha publicado DifyTap, un conjunto de cuatro vulnerabilidades en Dify, la popular plataforma de desarrollo de aplicaciones de IA empleada —según la firma— en más de un millón de aplicaciones y por organizaciones como Volvo, Maersk, Panasonic o Thermo Fisher.
Resumen ejecutivo
| Campo | Valor |
|---|---|
| Nombre | DifyTap (4 vulnerabilidades) |
| Críticas | CVE-2026-41948 (9.4), CVE-2026-41947 (9.1) |
| Plataforma | Dify (orquestación de apps de IA) |
| Alcance | > 1.000.000 de aplicaciones |
| Impacto | Acceso cross-tenant a chats y documentos |
| Descubierto por | Zafran Security |
Las cuatro piezas
Dos de los fallos son críticos y, combinados, rompen el aislamiento entre clientes de la plataforma:
- CVE-2026-41948 (CVSS 9.4) y CVE-2026-41947 (CVSS 9.1) — permiten el acceso a conversaciones y documentos de otros inquilinos (cross-tenant), accediendo a datos que deberían estar estrictamente separados por cliente.
El conjunto se completa con:
- Abuso del sistema de trazado (tracing) para exfiltrar prompts y respuestas de los modelos.
- Path traversal en el Plugin Daemon, que amplía el acceso a ficheros del sistema.
Los investigadores también describen el encadenamiento con CVE-2024-5846, un use-after-free en PDFium, para ampliar el impacto durante el procesamiento de documentos cargados.
Por qué las plataformas de IA son objetivo
Las plataformas de orquestación de IA concentran datos extremadamente sensibles:
- Prompts corporativos con lógica de negocio y datos confidenciales.
- Documentos cargados para RAG (contratos, código, información interna).
- Claves de API hacia modelos y servicios.
- Bases de conocimiento internas.
Un fallo de aislamiento entre inquilinos en este tipo de sistema equivale a una brecha de datos directa, sin necesidad de tocar la infraestructura tradicional. Es un nuevo tipo de superficie de ataque que muchos programas de seguridad aún no monitorizan.
Cadena de impacto
- Cross-tenant access (CVE-2026-41947/41948) → lectura de chats y documentos ajenos (T1213).
- Abuso de tracing → exfiltración continua de prompts/respuestas.
- Path traversal en Plugin Daemon → acceso a ficheros del host (T1083).
- Encadenado con PDFium UAF → mayor impacto al procesar documentos.
Versiones y correcciones
| Vulnerabilidad | Estado |
|---|---|
| CVE-2026-41947, 41949, 41950 | Corregidas en Dify 1.14.2 |
| CVE-2026-41948 | Fix fusionado, pendiente de publicación en versión próxima |
Indicadores y caza
- Accesos cruzados entre inquilinos: un usuario/tenant leyendo recursos de otro.
- Peticiones de path traversal (
../) contra el componente de plugins. - Volumen anómalo de exportación a través de funciones de trazado.
- Procesamiento de documentos que desencadena fallos de memoria (PDFium).
Mitigación y respuesta
- Actualizar Dify a la última versión disponible (≥ 1.14.2) y aplicar el fix de CVE-2026-41948 cuando se publique.
- Rotar claves de API que la plataforma haya manejado.
- Revisar registros de acceso en busca de actividad cross-tenant.
- Restringir la exposición de la plataforma; segmentar y aplicar mínimo privilegio a los plugins.
- Tratar los datos cargados (prompts, documentos) como información sensible sujeta a DLP y auditoría.
Cobertura en DefensOps
La adopción acelerada de plataformas de IA crea una nueva superficie de ataque. DefensOps trata estos servicios como activos de primera clase: detecta accesos cruzados entre inquilinos (T1213), path traversal en componentes de plugins (T1083) y patrones de exfiltración a través de funciones de trazado (T1190), desde el plan Professional.
Fuentes
Investigación de Zafran Security; The Hacker News; Cyber Security News; GBHackers.
Análisis elaborado y sintetizado por el equipo de DefensOps Threat Intel a partir de las fuentes citadas.
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Professional.
Técnicas MITRE ATT&CK: T1190, T1078, T1213, T1083
- Acceso cross-tenant a datos en plataforma de IA · T1213 — Data from Information Repositories · regla 111800 · plan Professional
- Path traversal en daemon de plugins / componente de IA · T1083 — File and Directory Discovery · regla 111806 · plan Professional
- Abuso de trazado para exfiltración de prompts y respuestas · T1190 — Exploit Public-Facing Application · regla 111811 · plan Enterprise
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.