有部署Dify的 务必记得检查一下版本 ,低于1.10的都可能被攻击 已经有倒霉蛋被打了

CVE-2025-55182是Next.js 的「无认证 RCE(远程代码执行)」漏洞,只要暴露一个 Next.js 前端,就可能被直接执行任意系统命令,不需要登录、不需要权限、也不需要知道任何 API,仅通过一次 POST 请求即可打穿服务器并拿到系统权限。
如果你暴露了 Next.js 的 Server Actions(受 CVE-2025-55182 影响),攻击者可以直接在你的服务器上执行任意 shell 命令,包括转发、加密、删除所有数据。

CVE-2025-55182 为保障持续安全,Dify已将React版本升级至已修补的19.2.1版本,并发布了自托管版本的更新补丁1.10.1-fix.1,强烈建议自托管用户更新至最新发布版本。目前Dify的所有服务均处于正常运行状态。