1  info:
 2    name: dify
 3    cve: CVE-2025-63387
 4    summary: Dify v1.9.1 存在不安全权限漏洞，允许未经身份验证的用户访问敏感系统配置数据。
 5    details: |
 6      未经身份验证的攻击者可以直接向 `/console/api/system-features` 端点发送 HTTP GET 请求，无需任何身份验证凭据或会话令牌。该端点未能实施适当的授权检查，从而允许匿名访问敏感系统配置数据。
 7    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
 8    severity: HIGH
 9    security_advise: |
10      1. 为 `/console/api/system-features` 端点实施适当的身份验证和授权检查。
11      2. 确保未经身份验证的用户无法访问敏感系统配置数据。
12      3. 审查并更新所有 API 端点的访问控制策略。
13  rule: version == "1.9.1"
14  references:
15    - https://nvd.nist.gov/vuln/detail/CVE-2025-63387
16    - https://github.com/langgenius/dify/issues/31368#issuecomment-3783712203
17    - https://github.com/langgenius/dify/pull/31392
18    - https://github.com/langgenius/dify/pull/31417
19    - https://gist.github.com/Cristliu/cddc0cbbf354de51106ab63a11be94af
20    - https://gist.github.com/Cristliu/dfc5f3a31dc6d7fff2754867e5c649a5
21    - https://github.com/langgenius/dify/discussions