1  info:
 2    name: dify
 3    cve: CVE-2025-11750
 4    summary: Dify-web 用户枚举漏洞通过不同的错误消息。
 5    details: |
 6      在 langgenius/dify-web 1.6.0 版本中，认证机制通过为不存在和存在的账户返回不同的错误消息来泄露用户账户的存在。具体来说，当使用不存在的用户名或电子邮件进行登录或注册尝试时，系统会响应“账户未找到”之类的消息。相反，当用户名或电子邮件存在但密码不正确时，会返回不同的错误消息。这种差异允许攻击者通过分析错误响应来枚举有效的用户账户，这可能有助于有针对性的社会工程、暴力破解或凭据填充攻击。
 7    cvss: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
 8    severity: MEDIUM
 9    security_advise: |
10      1. 在登录或注册尝试期间，为现有和不存在的账户实施一致的错误消息。
11      2. 避免透露有关身份验证尝试失败的具体细节。
12      3. 考虑对登录尝试进行速率限制，以缓解暴力破解和枚举攻击。
13  rule: version = "1.6.0"
14  references:
15    - https://nvd.nist.gov/vuln/detail/CVE-2025-11750
16    - https://huntr.com/bounties/e7359f9f-c004-4304-9de9-753622d370a1