【在野利用】Dify Docker部署仍存在React2Shell风险
2025-12-09 00:16 北京
检测业务是否受到此漏洞影响,请联系长亭应急服务团队!
2025年12月8日,长亭安全应急响应中心经过验证发现:虽然 Dify 官方已发布 v1.10.1-fix.1 版本修复 CVE-2025-55182(React2Shell),但该版本的 Docker 部署配置存在严重缺陷,导致用户通过官方 docker-compose.yaml 部署时仍可能拉取到存在漏洞的镜像,建议通过 Docker 部署 Dify 的用户立即检查并采取相应措施。
风险描述
Description
01
配置更新不同步
Dify v1.10.1-fix.1 的源代码已修复(React 升级至 19.2.1)
但该版本的
docker-compose.yaml未同步更新镜像版本配置用户下载 v1.10.1-fix.1 版本源码后运行 docker compose up -d 命令时,仍会拉取到有漏洞的镜像
官方回应
官方确认了这个问题,解释称:
"We didn't update docker-compose.yaml on that branch, because most people access this file on the main branch."
已有在野利用
Affects
02
已确认有用户遭受实际攻击,攻击细节如下:
攻击时间: 2025-12-08 00:25:16 UTC
攻击载荷: 通过
/chat
和/apps
端点进行命令注入攻击后果: 植入加密货币挖矿木马和 webshell 后门
攻击证明:
应对措施
Solution
03
检查当前 Dify 镜像版本是否大于 1.10.1
docker images | grep dify
如上图所示 dify-web 版本<=1.10.1, 则根据业务情况决定是否下载最新镜像进行部署
# 手动获取最新配置文件
wget https://raw.githubusercontent.com/langgenius/dify/main/docker/docker-compose.yaml
# 强制拉取最新镜像
docker-compose pull
# 重新启动服务
docker-compose up -d
# 验证 dify-web 版本是否大于1.10.1
docker ps
风险复现
Reproduction
04
# 手动获取最新配置文件wget https://raw.githubusercontent.com/langgenius/dify/main/docker/docker-compose.yaml# 强制拉取最新镜像docker-compose pull# 重新启动服务docker-compose up -d# 验证 dify-web 版本是否大于1.10.1docker ps
风险复现
Reproduction
04
长亭应急响应服务
目录
最新
- 【0day预警】ComfyUI-Manager CRLF注入导致远程代码执行漏洞
- 【已复现】n8n 前台远程代码执行漏洞(CVE-2026-21858)
- 【已复现】ComfyUI-Manager 远程代码执行漏洞(CVE-2025-67303)
- 【已复现】MongoDB 未授权内存泄露漏洞(CVE-2025-14847)
- 【已复现】FineReport 帆软报表前台远程代码执行漏洞
- 【已复现】Gogs 远程命令执行漏洞(CVE-2025-8110)
- 【在野利用】Dify Docker部署仍存在React2Shell风险
- 【已复现】React Server Components 远程代码执行漏洞(CVE-2025-55182)