• 漏洞编号：CVE-2024-12776
• 漏洞等级：高危
• 漏洞标签：暂无
• 发布时间：2025-04-25

漏洞描述

Dify是一款开源的大语言模型（LLM）应用开发平台，其旧版本/forgot\-password/resets接口存在任意用户密码重置漏洞，未经授权的远程攻击者可以重置已获取邮箱地址的用户的密码，包括管理员账号，可能导致Dify被攻击者完全控制。

修复建议

暂无

参考链接

https://huntr.com/bounties/00a8b403-7da5-431e-afa3-40339cf734bf

https://nvd.nist.gov/vuln/detail/CVE-2024-12776

https://stack.chaitin.com/vuldb/detail/0023bf07-2bbe-4ab6-91cc-9409a8b8ad48