Dify-Lücken: Vier kritische Fehler gefährden über eine Million Apps
23.06.2026 - 21:44:06 | boerse-global.de
Die Probleme betreffen über eine Million Anwendungen in rund 50 Industrien – darunter Volvo und Maersk.
Mandantentrennung unzureichend
Die Sicherheitsexperten von Zafran Labs entdeckten die Lücken unter dem Namen „DifyTap“. Die schwerwiegendsten Fehler betreffen die Isolation zwischen verschiedenen Mandanten.
Anzeige: Die vier Dify-Lücken (CVSS bis 9,4) gefährden über eine Million Apps – darunter Volvo und Maersk. Nur 38 % der Sicherheitsverantwortlichen haben eine abgestimmte Strategie. Dieser Report liefert die Checkliste für sofortige Updates und den NIS2-Notfallplan. Jetzt kostenlosen Sicherheits-Report anfordern
CVE-2026-41947 erreicht einen CVSS-Score von 9,1. Der Fehler ermöglicht das dauerhafte Abgreifen von Chat-Nachrichten. Noch kritischer ist CVE-2026-41948 mit einem Wert von 9,4 – diese Schwachstelle in der Plugin-Schnittstelle erlaubt unbefugte Dateizugriffe.
Drei der Probleme wurden mit Version 1.14.2 behoben. Die kritische Pfad-Traversierung blieb zunächst ungepatcht. Zudem nutzt die Plattform eine veraltete Version der PDF-Bibliothek PDFium.
OpenAI bringt Sicherheits-KI
Als Reaktion auf komplexere Angriffe hat OpenAI das Modell GPT-5.5-Cyber veröffentlicht. Das System findet Schwachstellen und generiert automatisch Patches. Im Benchmark „CyberGym“ erreichte es eine Erfolgsquote von 85,6 Prozent – und übertraf damit Anthropics Mythos 5 (83,8 Prozent).
Im Rahmen des Programms „Daybreak“ identifizierte das Modell bereits zahlreiche Lücken: acht Informationslecks im Linux-Kernel, 34 Schwachstellen in FreeBSD sowie mehrere Exploits in Chrome und Safari.
Mit der Initiative „Patch the Planet“ will OpenAI zusammen mit Trail of Bits und HackerOne die Sicherheit von Open-Source-Projekten wie Python, Go und cURL verbessern. Der Zugang zu GPT-5.5-Cyber bleibt vorerst auf verifizierte Sicherheitsorganisationen beschränkt.
BSI hebt Warnstufe an
Das Bundesamt für Sicherheit in der Informationstechnik hat die Gefahrenlage auf „Gelb“ angehoben. Grund sind günstigere und kleinere Sprachmodelle, die die Hürden für Cyberkriminelle senken.
KI-Systeme reduzieren den Zeitaufwand für die Angriffsvorbereitung massiv. Zero-Day-Lücken werden im Median bereits sieben Tage vor einem offiziellen Patch ausgenutzt. Das BSI rät Organisationen, ihre Reaktionszeiten auf Minuten bis Stunden zu verkürzen.
Neben technischen Exploits sieht die Behörde wachsende Risiken durch personalisierte Phishing-Kampagnen und Deepfakes.
Unternehmen in der Zwickmühle
Anzeige: Das BSI hebt die Warnstufe auf Gelb – KI-gestützte Angriffe werden schneller und personalisierter. Zero-Day-Lücken werden im Median sieben Tage vor Patch ausgenutzt. Erfahren Sie, wie Sie Ihre Reaktionszeiten auf Minuten verkürzen und Ihre Dify-Instanz absichern. Notfallplan für Dify-Sicherheit jetzt sichern
Die Entwicklung sorgt in vielen Konzernen für strategische Spannungen. 95 Prozent der CIOs und CTOs rechnen mit steigenden Investitionen in Cybersicherheit durch generative KI. Doch die interne Ausrichtung bleibt oft unklar.
Nur 38 Prozent der Sicherheitsverantwortlichen sehen ihre Strategie im Einklang mit der Unternehmensführung. 54 Prozent beklagen fehlende Richtlinien für den KI-Einsatz.
Regulatorische Anforderungen wie der EU AI Act und die NIS2-Richtlinie erhöhen den Handlungsdruck zusätzlich. Unternehmen müssen ihre Sicherheitsmodelle grundlegend überarbeiten.
