重大提醒：dify安全漏洞，你的服务器赤裸裸的被暴露了！

#行业资讯 ·2025-12-12 15:12:40

近期dify官方发布一条重要的安全警报。如果你的 Dify 部署在公网，请务必花 1 分钟看完并立即行动。

发生了什么？ Dify 的底层框架 Next.js 刚刚被曝出一个评分达到 CVSS 10.0（满分） 的严重漏洞（CVE-2025-55182）。

有多危险？

1、无需登陆：黑客不需要账号，也不需要管理员权限。

2、远程控制：只需向服务器发送一段精心构造的数据，就能直接接管你的服务器（远程代码执行 RCE）。

3、POC已公开：攻击验证代码已经在互联网上流传，被扫描和攻击的风险极大。

Dify 官方已修复 Dify 团队反应极其迅速，已发布 v1.10.1-fix.1 版本，升级了核心组件（React 19.2.1 + Next.js 15.5.7）以堵住这个漏洞。

建议你立刻做两件事：

1、马上升级 不要犹豫，立即更新到 v1.10.1-fix.1。

2、不要“裸奔” ，作为安全从业者，我再次提醒：尽量不要将 Dify 管理后台直接暴露在公网。

安全无小事，请大家留意！