Zafran Security ha publicado DifyTap, un conjunto de cuatro vulnerabilidades en Dify, la popular plataforma de desarrollo de aplicaciones de IA empleada —según la firma— en más de un millón de aplicaciones y por organizaciones como Volvo, Maersk, Panasonic o Thermo Fisher.

Resumen ejecutivo

Campo Valor
Nombre DifyTap (4 vulnerabilidades)
Críticas CVE-2026-41948 (9.4), CVE-2026-41947 (9.1)
Plataforma Dify (orquestación de apps de IA)
Alcance > 1.000.000 de aplicaciones
Impacto Acceso cross-tenant a chats y documentos
Descubierto por Zafran Security

Las cuatro piezas

Dos de los fallos son críticos y, combinados, rompen el aislamiento entre clientes de la plataforma:

  • CVE-2026-41948 (CVSS 9.4) y CVE-2026-41947 (CVSS 9.1) — permiten el acceso a conversaciones y documentos de otros inquilinos (cross-tenant), accediendo a datos que deberían estar estrictamente separados por cliente.

El conjunto se completa con:

  • Abuso del sistema de trazado (tracing) para exfiltrar prompts y respuestas de los modelos.
  • Path traversal en el Plugin Daemon, que amplía el acceso a ficheros del sistema.

Los investigadores también describen el encadenamiento con CVE-2024-5846, un use-after-free en PDFium, para ampliar el impacto durante el procesamiento de documentos cargados.

Por qué las plataformas de IA son objetivo

Las plataformas de orquestación de IA concentran datos extremadamente sensibles:

  • Prompts corporativos con lógica de negocio y datos confidenciales.
  • Documentos cargados para RAG (contratos, código, información interna).
  • Claves de API hacia modelos y servicios.
  • Bases de conocimiento internas.

Un fallo de aislamiento entre inquilinos en este tipo de sistema equivale a una brecha de datos directa, sin necesidad de tocar la infraestructura tradicional. Es un nuevo tipo de superficie de ataque que muchos programas de seguridad aún no monitorizan.

Cadena de impacto

  1. Cross-tenant access (CVE-2026-41947/41948) → lectura de chats y documentos ajenos (T1213).
  2. Abuso de tracing → exfiltración continua de prompts/respuestas.
  3. Path traversal en Plugin Daemon → acceso a ficheros del host (T1083).
  4. Encadenado con PDFium UAF → mayor impacto al procesar documentos.

Versiones y correcciones

Vulnerabilidad Estado
CVE-2026-41947, 41949, 41950 Corregidas en Dify 1.14.2
CVE-2026-41948 Fix fusionado, pendiente de publicación en versión próxima

Indicadores y caza

  • Accesos cruzados entre inquilinos: un usuario/tenant leyendo recursos de otro.
  • Peticiones de path traversal (../) contra el componente de plugins.
  • Volumen anómalo de exportación a través de funciones de trazado.
  • Procesamiento de documentos que desencadena fallos de memoria (PDFium).

Mitigación y respuesta

  1. Actualizar Dify a la última versión disponible (≥ 1.14.2) y aplicar el fix de CVE-2026-41948 cuando se publique.
  2. Rotar claves de API que la plataforma haya manejado.
  3. Revisar registros de acceso en busca de actividad cross-tenant.
  4. Restringir la exposición de la plataforma; segmentar y aplicar mínimo privilegio a los plugins.
  5. Tratar los datos cargados (prompts, documentos) como información sensible sujeta a DLP y auditoría.

Cobertura en DefensOps

La adopción acelerada de plataformas de IA crea una nueva superficie de ataque. DefensOps trata estos servicios como activos de primera clase: detecta accesos cruzados entre inquilinos (T1213), path traversal en componentes de plugins (T1083) y patrones de exfiltración a través de funciones de trazado (T1190), desde el plan Professional.

Fuentes

Investigación de Zafran Security; The Hacker News; Cyber Security News; GBHackers.

Análisis elaborado y sintetizado por el equipo de DefensOps Threat Intel a partir de las fuentes citadas.