Дослідники з безпеки компанії Zafran виявили критичні вразливості в популярній платформі для автоматизації штучного інтелекту Dify. Серія помилок під загальною назвою DifyTap дозволяє стороннім користувачам без авторизації таємно читати приватні листування інших клієнтів хмарного сервісу. Дві з цих вразливостей мають критичний рівень небезпеки та загрожують витоком конфіденційної інформації через відсутність належної перевірки правок власності в багатокористувацькому середовищі платформи.

Помилка CVE-2026-41947 дає змогу зловмисникам перенаправляти всі вхідні повідомлення та відповіді нейромереж на підконтрольні сервери моніторингу. Інші дефекти, такі як CVE-2026-41949, дозволяють переглядати перші 3000 символів будь-яких завантажених іншими організаціями документів за допомогою випадкового підбору ідентифікатора файлу. Більшість виявлених прогалин уже повністю усунено у свіжому оновленні версії 1.14.2, проте один недолік залишається відкритим до наступного планового релізу.