Source: CrowdSec — Le billet signale une exploitation active de la vulnérabilité CVE-2025-56520 affectant Dify, avec détection par le réseau CrowdSec et un suivi de la menace depuis le 11 février 2026.

• Vulnérabilité et portée: La faille est une SSRF au sein du composant RemoteFileUploadApi de Dify (jusqu’à la version 1.6.0), déclenchée via l’endpoint /console/api/remote-files/. Dify, plateforme open source d’orchestration d’agents IA/LLM (env. 130k étoiles GitHub), est largement déployée, ce qui expose de nombreux environnements.

• Exploitation observée: CrowdSec constate une vague d’attaques centrées sur la reconnaissance (cartographie des réseaux internes, identification de cibles). L’activité est portée par peu d’IP mais avec un volume élevé, suggérant des groupes automatisant les tentatives à l’aide d’exploits publics ou de templates Nuclei. Les scores CrowdSec indiquent un momentum: 5 et une opportunity: 4, signe d’une menace active et opportuniste.

• Vecteurs et impacts possibles:

  • Scan de ports internes pour repérer des services non exposés.
  • Accès aux métadonnées cloud (IMDS) pouvant mener au vol d’identifiants temporaires.
  • Contournement de pare-feu en ciblant des API internes faisant confiance au serveur Dify.

• État du correctif et protections proposées: La gestion initiale du signalement a été fermée comme “stale” par un bot IA, malgré la confirmation d’exploitation. Aucun patch n’est disponible à ce jour. CrowdSec recommande d’activer le module AppSec en frontal (reverse proxy/web server) pour bloquer les patterns malveillants et de s’abonner à la Community Blocklist pour bloquer proactivement les IP connues.

• IOCs et TTPs:

  • IOCs: Aucun indicateur spécifique (IP/domaines/hash) partagé.
  • TTPs: SSRF, reconnaissance réseau, scan de ports internes, accès IMDS, interaction avec APIs internes, automatisation via templates Nuclei; ciblage de /console/api/remote-files/ et composant RemoteFileUploadApi.

Article de type « alerte/analyse de menace » visant à informer sur l’exploitation active de CVE-2025-56520, son impact potentiel et les mesures de blocage proposées via l’écosystème CrowdSec.

🔗 Source originale : https://www.crowdsec.net/vulntracking-report/cve-2025-56520