📰 Dify v1.10.1-fix.1 版本紧急发布!
2025年12月5日,Dify发布了1.10.1-fix.1版本,主要针对核心依赖进行了多项升级。后端方面,pyarrow提升至17.0.0,werkzeug更新至3.1.4,urllib3迭代至2.5.0。前端则采用React 19.2.1来修复CVE-2025-55182安全漏洞,并同步更新Next.js至15.5.7。
CVE-2025-55182是一个影响React Server Components的高危远程代码执行漏洞,CVSS评分为10.0。该漏洞源于反序列化机制的缺陷,攻击者可通过构造恶意HTTP请求,实现服务器端远程代码执行,存在数据窃取和系统控制权丧失的风险。修复方案要求立即升级React和Next.js的版本。
该漏洞突显了现代前端框架在服务端能力上带来的安全挑战,及时部署补丁是当前最有效的防护措施。此外,未使用React服务端组件的项目不受此漏洞影响,建议开发者使用依赖扫描工具检查版本并更新生产环境。
🏷️ #Dify #安全漏洞 #React #版本更新 #补丁
🔗 原文链接
📰 Dify v1.10.1-fix.1 版本紧急发布!
2025年12月5日,Dify发布了1.10.1-fix.1版本,主要针对核心依赖进行了多项升级。后端方面,pyarrow提升至17.0.0,werkzeug更新至3.1.4,urllib3迭代至2.5.0。前端则采用React 19.2.1来修复CVE-2025-55182安全漏洞,并同步更新Next.js至15.5.7。
CVE-2025-55182是一个影响React Server Components的高危远程代码执行漏洞,CVSS评分为10.0。该漏洞源于反序列化机制的缺陷,攻击者可通过构造恶意HTTP请求,实现服务器端远程代码执行,存在数据窃取和系统控制权丧失的风险。修复方案要求立即升级React和Next.js的版本。
该漏洞突显了现代前端框架在服务端能力上带来的安全挑战,及时部署补丁是当前最有效的防护措施。此外,未使用React服务端组件的项目不受此漏洞影响,建议开发者使用依赖扫描工具检查版本并更新生产环境。
🏷️ #Dify #安全漏洞 #React #版本更新 #补丁
🔗 原文链接
