Fallas críticas en la plataforma de IA más usada para crear asistentes corporativos permiten leer conversaciones privadas de otras organizaciones
Se identificaron cuatro vulnerabilidades críticas en Dify, la plataforma de código abierto que impulsa más de un millón de aplicaciones de IA. Las fallas permiten que un atacante acceda a conversaciones privadas de otras organizaciones dentro del mismo entorno compartido, lea documentos subidos por otros usuarios y ejecute llamadas a sistemas externos usando credenciales ajenas. Dify versión 1.14.2 incluye los parches.
Qué ocurrió
Investigadores de Zafran Security identificaron cuatro vulnerabilidades en Dify — la plataforma de código abierto más usada para construir asistentes de IA, con más de un millón de aplicaciones activas. Las fallas, con severidades de 9.1 y 9.4 sobre 10, permiten que un atacante en el mismo entorno compartido lea conversaciones privadas de otras organizaciones, acceda a sus documentos y use sus credenciales de sistemas externos sin autorización. La más grave crea un canal de extracción persistente que envía todos los mensajes a un destino controlado por el atacante.
Quién está expuesto
Organizaciones que usan Dify — en su versión alojada en la nube o en instalaciones propias que comparten entorno con otras cuentas — para construir asistentes internos, chatbots de atención, flujos de automatización o cualquier herramienta de IA. También organizaciones que usan aplicaciones construidas con Dify sin saberlo directamente.
A considerar
Actualizar a Dify 1.14.2 de inmediato. Si el entorno es compartido con otros clientes, considerar que conversaciones y documentos pudieron haber sido accedidos antes de la actualización. Implementar reglas de firewall de aplicación para CVE-2026-41948 como capa adicional mientras se valida el parche.
Impacto potencial
Las conversaciones de un asistente corporativo de IA contienen información sensible: preguntas sobre clientes, procesos internos, estrategia, datos financieros. Si esas conversaciones fueron accesibles para otro cliente del mismo entorno, la filtración puede no haberse manifestado todavía — pero los datos ya salieron.
Leer fuente original →