LangGeniusのDifyにおけるクロスサイトスクリプティングの脆弱性

JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-015216 LangGeniusのDifyにおけるクロスサイトスクリプティングの脆弱性 DifyはオープンソースのLLMアプリ開発プラットフォームです。バージョン1.13.1より前では、認証されていないユーザーがPOST /api/files/uploadメソッドを使用して、XSSを含むSVGファイルをアップロードできました。アプリケーションAPIを通じて認証が必要なPOST /v1/files/uploadメソッドにも同様の脆弱性が存在していました。この問題はバージョン1.13.1で修正されました。 cpe:/a:langgenius:dify https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-015216.html Common Vulnerabilities and Exposures (CVE) CVE-2026-42138 https://www.cve.org/CVERecord?id=CVE-2026-42138 National Vulnerability Database (NVD) CVE-2026-42138 https://nvd.nist.gov/vuln/detail/CVE-2026-42138 GitHub Stored XSS via SVG-file upload Advisory langgenius/dify GitHub https://github.com/langgenius/dify/security/advisories/GHSA-cg94-8v83-7hjj JVNDB CWE-79 クロスサイトスクリプティング https://jvndb.jvn.jp/ja/cwe/CWE-79.html 関連文書 Release v1.13.1 langgenius/dify GitHub https://github.com/langgenius/dify/releases/tag/1.13.1 2026-05-13T10:24:56+09:00 2026-05-13T10:24:56+09:00