1  info:
 2    name: dify
 3    cve: CVE-2025-29720
 4    summary: Dify v1.0包含一个服务器端请求伪造(SSRF)漏洞。
 5    details: |
 6      Dify v1.0被发现包含一个通过组件controllers.console.remote_files.RemoteFileUploadApi的服务器端请求伪造(SSRF)漏洞。
 7    cvss: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
 8    severity: MEDIUM
 9    security_advise: |
10      1. 升级到解决此漏洞的最新版本的Dify。
11      2. 对远程文件上传实施严格的输入验证。
12      3. 监控并限制应用程序的外发网络请求。
13  rule: version < "1.0.1"
14  references:
15    - https://nvd.nist.gov/vuln/detail/CVE-2025-29720
16    - https://github.com/langgenius/dify/issues/15185
17    - https://dify.ai