Por Canuto La plataforma de IA de código abierto Dify, utilizada para impulsar más de 1 millón de aplicaciones, corrigió cuatro vulnerabilidades que podían facilitar acceso indebido a chats privados, archivos y funciones internas entre distintos inquilinos en despliegues multiinquilino.
***
- Zafran Security identificó cuatro fallas, bautizadas como DifyTap, en la popular plataforma LLMOps Dify.
- Los defectos permitían leer chats privados, activar llamadas internas a la API, previsualizar documentos de otros inquilinos y descargar archivos de otros usuarios.
- Dify publicó la versión 1.14.2 con parches y recomendó aplicar mitigaciones adicionales, incluidas reglas WAF para uno de los fallos.
🚨 FALLOS CRÍTICOS EN DIFY AI 🚨
Cuatro vulnerabilidades expuestas en Dify AI permiten el acceso ilícito a datos de más de 1 millón de aplicaciones.
Los problemas incluyen la lectura de chats privados y recuperación de archivos ajenos.
Se lanzó un parche urgente, pero las… pic.twitter.com/fCgOdzAJW2
— Diario฿itcoin (@DiarioBitcoin) June 24, 2026
Dify, una plataforma de código abierto orientada a LLMOps para crear, desplegar, mantener y monitorear aplicaciones de inteligencia artificial, quedó en el centro de una alerta de ciberseguridad tras la divulgación de cuatro vulnerabilidades de alto impacto. El problema es relevante porque la herramienta impulsa más de 1 millón de aplicaciones en más de 50 industrias.
Los hallazgos fueron atribuidos a Zafran Security, que bautizó el conjunto de fallas como DifyTap. Según la investigación, los defectos podían ser explotados para desviar datos de otros inquilinos en implementaciones de nube multiinquilino.
Para lectores menos familiarizados con el término, un entorno multiinquilino es aquel en el que varios clientes comparten la misma infraestructura o instancia de software. En ese modelo, la separación lógica entre cuentas es crítica, porque un error de validación puede abrir la puerta a accesos cruzados no autorizados.
En este caso, el riesgo no era teórico ni menor. Las vulnerabilidades permitían leer chats privados de aplicaciones de otros clientes, activar llamadas internas a la API entre inquilinos, previsualizar documentos subidos por terceros y recuperar archivos de otros usuarios dentro del mismo inquilino.
La gravedad del episodio también refleja una tendencia más amplia en el sector de IA. A medida que plataformas abiertas y herramientas de orquestación para modelos de lenguaje ganan adopción acelerada, sus componentes de observabilidad, plugins y manejo documental se convierten en superficies de ataque cada vez más sensibles.
Las cuatro vulnerabilidades y su alcance
La primera falla fue registrada como CVE-2026-41947 y recibió una puntuación CVSS de 9.1. El problema existía en la funcionalidad de tracing de Dify, usada para perfilado y monitoreo de aplicaciones de IA.
De acuerdo con la información publicada por SecurityWeek, los endpoints relacionados con la configuración del tracing no validaban el inquilino del remitente. Esa omisión permitía que un atacante enviara solicitudes para cualquier aplicación alojada en la instancia.
La explotación de esta vulnerabilidad requería tener una cuenta de usuario de consola en Dify. Ese acceso, sin embargo, estaba disponible para cualquier persona que se registrara en la plataforma, lo que ampliaba el radio potencial del abuso.
Zafran explicó que un atacante podía configurar su propio tracing para cualquier aplicación a la que tuviera acceso como cliente. Eso incluía todas las aplicaciones accesibles públicamente dentro de la plataforma.
Según la firma, esa condición abría un canal persistente de exfiltración para todos los mensajes y respuestas enviados en la aplicación comprometida. En términos prácticos, el atacante podía observar conversaciones privadas y salidas generadas por sistemas de IA de otros clientes.
La segunda vulnerabilidad fue rastreada como CVE-2026-41948 y obtuvo una puntuación CVSS de 9.4. Este fallo impactaba al daemon de plugins, el componente encargado de gestionar y ejecutar plugins en Dify.
La investigación indicó que dos primitivas dentro de ese daemon daban acceso a endpoints arbitrarios de la API a través de solicitudes GET y POST. Ese comportamiento podía ser abusado para realizar ataques de path traversal.
Además, la falla permitía obtener iconos de plugins pertenecientes a otros inquilinos. También abría la posibilidad de afectar los entornos de otros clientes dentro de la misma infraestructura compartida.
Las dos vulnerabilidades restantes fueron identificadas como CVE-2026-41949 y CVE-2026-41950. Ambas fueron descritas como defectos de alta severidad vinculados con la forma en que Dify manejaba la identificación de archivos y los permisos de acceso.
Como resultado, un atacante podía previsualizar archivos subidos por otros inquilinos o recuperar archivos de otros usuarios dentro del mismo inquilino. Ese detalle es importante porque muestra dos capas distintas de exposición: una entre clientes diferentes y otra dentro de una misma organización o espacio compartido.
Un riesgo extendido por funciones de monitoreo, plugins y archivos
El caso de Dify resulta especialmente sensible porque combina varias funciones esenciales en una sola plataforma. El tracing, la ejecución de plugins y el manejo de documentos son piezas normales en flujos modernos de IA empresarial.
Cuando una plataforma reúne esas capacidades, un fallo en controles de separación puede multiplicar el impacto. No solo se comprometen datos estáticos, sino también interacciones en vivo, rutas internas de API y procesos automatizados que conectan servicios externos.
En aplicaciones basadas en modelos de lenguaje, los chats suelen incluir datos de clientes, prompts internos, reglas de negocio y respuestas sensibles. Por eso, la posibilidad de leer mensajes de otros inquilinos representa un riesgo serio para privacidad, cumplimiento y propiedad intelectual.
Algo similar ocurre con los archivos subidos a este tipo de sistemas. Muchas organizaciones usan plataformas LLMOps para indexar contratos, reportes, manuales técnicos o material interno que luego es consultado por asistentes de IA.
Si un atacante puede previsualizar o descargar ese contenido por errores de autorización, el problema deja de ser un simple bug de interfaz. Se convierte en una exposición estructural de datos que puede afectar a empresas de múltiples sectores al mismo tiempo.
El componente de plugins añade otra capa de complejidad. En ecosistemas de IA, los plugins suelen conectar la aplicación con bases de datos, repositorios, APIs corporativas y servicios de terceros.
Por eso, cualquier capacidad para invocar endpoints arbitrarios mediante GET o POST merece una revisión urgente. Aun cuando el abuso no lleve de inmediato a ejecución remota de código, sí puede facilitar reconocimiento, movimientos laterales o modificaciones no previstas en otros entornos.
El caso también deja una lección para proyectos open source con crecimiento acelerado. La popularidad y la flexibilidad de integración pueden atraer adopción masiva, pero al mismo tiempo elevan la necesidad de controles robustos de aislamiento entre usuarios, aplicaciones e inquilinos.
El componente PDF y la ventana de exposición histórica
Zafran Security también encontró un problema adicional en la cadena de procesamiento documental. Durante aproximadamente un año y medio, hasta el 21 de diciembre de 2025, la biblioteca de análisis de PDF utilizada por el endpoint de previsualización empleó la versión binaria 126.0.6462.0 de Chromium PDFium.
Esa versión era vulnerable a CVE-2024-5846, un error de tipo use-after-free divulgado en junio de 2024. Aunque el reporte principal se centró en los cuatro defectos DifyTap, este hallazgo añade contexto sobre la superficie técnica que acompañaba al sistema de previsualización.
Un use-after-free es un tipo de vulnerabilidad de memoria que puede desencadenar comportamientos inesperados y riesgos severos de seguridad. En motores complejos como PDFium, este tipo de fallo suele ser tratado con alta prioridad por su potencial de explotación.
El dato temporal también es relevante. Si la biblioteca vulnerable estuvo presente hasta el 21 de diciembre de 2025, entonces la exposición no solo dependía de errores de autorización, sino también de componentes de terceros con historial conocido de fallas.
Eso no implica automáticamente que el binario haya sido explotado en la práctica en este caso. Sin embargo, sí refuerza la necesidad de mantener una gestión estricta de dependencias, especialmente cuando se procesan archivos cargados por usuarios o por otros inquilinos.
En entornos de IA, la ingesta documental es una función muy común. Por esa razón, bibliotecas como PDFium, parsers de texto y motores de previsualización deben mantenerse alineados con ciclos rápidos de actualización y auditoría.
Parche disponible y medidas urgentes para usuarios
Dify lanzó la versión 1.14.2 con correcciones para las vulnerabilidades descubiertas. La recomendación para usuarios y administradores es actualizar a esa iteración corregida tan pronto como sea posible.
La urgencia no se limita al parche general. También se aconsejó implementar reglas de WAF diseñadas específicamente para mitigar CVE-2026-41948, la vulnerabilidad que afectaba al daemon de plugins.
Un WAF, o firewall de aplicaciones web, puede ayudar a filtrar patrones maliciosos mientras se completa la actualización o se endurece la configuración del sistema. En escenarios de producción, esa capa adicional puede reducir la exposición frente a intentos automatizados de explotación.
Para organizaciones que usan Dify en despliegues multiinquilino, el episodio debería motivar una revisión completa de registros, configuraciones de tracing y controles sobre endpoints internos. También conviene verificar políticas de acceso a archivos, aislamiento entre clientes y uso efectivo de plugins.
Otra medida razonable es revisar si hubo aplicaciones accesibles públicamente que pudieran haber ampliado la superficie de ataque. El propio análisis indicó que el tracing mal configurado podía aplicarse a aplicaciones a las que un atacante accediera como cliente, incluidas aquellas expuestas públicamente.
En sectores regulados, la respuesta no debería limitarse a instalar la actualización. También puede ser necesario evaluar impacto sobre datos personales, secretos comerciales, historiales de conversación y documentación subida durante el período vulnerable.
La noticia subraya un punto central para el mercado de IA empresarial. La carrera por desplegar agentes, copilotos y herramientas basadas en modelos de lenguaje debe ir acompañada por controles de segregación y auditoría tan sólidos como los exigidos en sistemas financieros o infraestructura crítica.
Si una plataforma usada por más de 1 millón de aplicaciones presenta fallas de este tipo, el mensaje para el ecosistema es claro. La seguridad en la capa de orquestación de IA ya no es un tema secundario, sino una condición básica para escalar con confianza.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Hardware
Linux 7.2 sorprende con mejoras de red en AMD EPYC Sorano
IA
OpenAI cambia su estrategia de ciberseguridad y prioriza parches sobre hallazgo de fallas
IA
Nvidia, AMD y Micron arrastran al Nasdaq mientras se enfría el auge de la IA
IA