1  info:
 2    name: dify
 3    cve: CVE-2025-63386
 4    summary: Dify v1.9.1 的 /console/api/setup 端点存在 CORS 配置错误漏洞。
 5    details: |
 6      Dify v1.9.1 的 /console/api/setup 端点存在跨域资源共享 (CORS) 配置错误漏洞。
 7      该端点实施了不安全的 CORS 策略，它会反射任何 Origin 头部，并启用 Access-Control-Allow-Credentials: true，
 8      从而允许任意外部域发出经过身份验证的请求。
 9    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
10    severity: CRITICAL
11    security_advise: |
12      1. 将 Dify 升级到解决此 CORS 配置错误的版本。
13      2. 在 `/console/api/setup` 端点上实施严格的 CORS 策略，确保只允许受信任的源。
14      3. 避免反射任意 `Origin` 头部，并对不受信任的源禁用 `Access-Control-Allow-Credentials: true`。
15  rule: version == "1.9.1"
16  references:
17    - https://nvd.nist.gov/vuln/detail/CVE-2025-63386
18    - https://gist.github.com/Cristliu/1610daac87c711ac3e0250c58f5cc4f9
19    - https://gist.github.com/Cristliu/8ad993126be05c9210c71cc7d49fa112
20    - https://github.com/langgenius/dify/discussions