Dify の脆弱性群 DifyTap が FIX:AI アプリ 100万件でテナント間データ漏洩の恐れ

DifyTap Flaws Expose AI Data Across Tenants on Platform Powering 1M+ Apps

2026/06/23 gbhackers — 広く使用されているオープンソースの LLMOps プラットフォーム Dify に、複数の深刻な脆弱性が発見された。100 万を超える AI アプリケーションを支えている、Dify の脆弱性は 4 件の欠陥で構成されており、DifyTap と総称されている。そのうち 2 件は Critical と評価され、残り 2 件は認証を必要としない欠陥とされている。それらを悪用する攻撃者は、テナント間でのデータ漏洩のリスクを引き起こし、非公開の AI 会話へのアクセス/機密文書のプレビュー/内部 API との対話などを可能にする。

この問題が、特に影響を及ぼすのは、Dify のマルチテナント型クラウド環境である。それにより、テナント分離の不備が生じ、不特定の顧客による別テナントのデータへのアクセスが可能になってしまう。

DifyTap による AI データの露出

Dify は Volvo/Maersk/Panasonic/Thermo Fisher などの企業で広く採用され、GitHub では 140,000 を超えるスターを獲得し、Docker のプル数も 1,000 万件を超えている。

このプラットフォームのアーキテクチャは、統合 Plugin と Retrieval-Augmented Generation (RAG) パイプラインおよびトレーシング機能を備え、ローコードによる AI アプリケーション開発を支援する。しかし、Zafran の調査により明らかになったのは、テナント分離や API の信頼境界に関する、基本的な設計上の前提が回避可能であることだ。

脆弱性 CVE-2026-41947

最も深刻な脆弱性である CVE-2026-41947 は、CVSS スコア 9.1 と評価されており、Dify のトレーシング機能に影響を及ぼす。この機能により開発者は、外部トレーシング・プロバイダーを設定し、プロンプトやモデル応答を含むアプリケーション・テレメトリを収集できる。

研究者が発見したのは、トレーシング・エンドポイントがテナント所有権を検証していないことである。その結果、標準ユーザー・アカウントを持つ攻撃者は、公開されているアプリケーションからアプリケーション ID を取得し、悪意のトレーシング設定を行うことで、すべての会話に対する永続的なデータ流出経路を確立できる。それにより、ユーザーに気付かれることなく、機密性の高いプロンプトやレスポンスを密かに傍受することが可能となる。

Attacker flow (Source: Zafran)
Attacker flow (Source: Zafran)
脆弱性 CVE-2026-41948

もう 1 件の Critical 脆弱性である CVE-2026-41948 は、CVSS スコア 9.4 と評価されており、Plugin を実行する Plugin Daemon サービスに影響を及ぼす。内部 API リクエストにおいて、ユーザーが制御する入力を安全でない形で処理してしまう欠陥である。

ファイル名などのパラメータに存在する、パス・トラバーサル脆弱性を悪用する攻撃者は、任意の内部エンドポイントへアクセスできる。これらのエンドポイントは認証を必要としないため、未認証の攻撃者であっても、内部サービスとの対話が可能となる。

現在の悪用範囲は、Debug Profiling インターフェイスなどのエンドポイントに限定されているが、新たなエンドポイントが追加される可能性があることから、このアーキテクチャ上の弱点により深刻なリスクがもたらされる。

Displays Findings observed (Source: Zafran)
Displays Findings observed (Source: Zafran)
脆弱性 CVE-2026-41949/CVE-2026-41950

脆弱性 CVE-2026-41949/CVE-2026-41950 は、 Dify のファイル処理メカニズムに影響を及ぼす欠陥である。研究者たちが実証したのは、ファイルへのアクセス制御がメッセージ・レベルの権限に間接的に依存しているため、UUID を直接参照することでバイパスが可能なことである。

あるケースでは、他のテナントがアップロードした文書を、攻撃者が認可なしでプレビューできることが判明した。また別のケースでは、既存のファイル UUID をチャット・ボットとの対話に添付し、モデルに対して内容を明らかにするよう促すことで、同一テナント内/テナント間の双方においてデータ流出につながる経路を作り出せることが明らかにされた。

脆弱性 CVE-2024-5846

さらに Zafran は、Dify のファイル解析スタックに含まれる、PDFium の解放後メモリ使用 (use-after-free) 脆弱性 CVE-2024-5846 が、長期間にわたり存在していることも特定した。脆弱なバージョンは 18 カ月以上にわたり使用され続けており、プレビュー機能で処理される悪意の PDF ファイルをアップロードする攻撃者が、コード実行を引き起こす可能性が示された。


すべての脆弱性は、責任ある開示の下で報告され、Dify バージョン 1.14.2 で修正パッチがリリースされ、追加の修正もリリース予定である。

セキュリティ・チームに推奨されるのは、直ちにアップデートを適用した上で、パス・トラバーサルの試みを検出する Web アプリケーション・ファイアウォール (WAF) ルールなどの補完的な対策を実装することだ。

また、Zafran は、Plugin Daemon エンドポイントを標的とする悪用活動の特定に役立つ、Snort シグネチャも公開している。

これらの調査結果が浮き彫りにするのは、AI プラットフォームのセキュリティにおける広範な問題である。特にマイクロサービス・ベースのアーキテクチャでは、従来のコンテナ・スキャン・ツールによる検知を、アプリケーション・レベルの脆弱性が回避する可能性がある。

そのため、Zafran が推奨するのは、アプリケーション・レベルのリスクを正確にマッピングする手法としての “shadow container image component enrichment” などの、可視性を向上させるためのアプローチである。