dify修复漏洞 React 和 Next.js 中的严重远程代码执行漏洞

用户梨花 · 發表於 2025-12-10 18:08:00

修复方案

上面这段可以了理解为以 15.0.x修复方案为例子
15.0.1 不安全
15.0.2 不安全
15.0.3 不安全
15.0.4 不安全
15.0.5 安全
15.0.6 不安全
以此类推

1.进入 /opt/app/dify/web 下查看 package.json 是否命中, 这边以"react": "19.1.2"和 "next": "~15.3.6"为例子,如果是不安全的，将版本号修改为对应安全的

3.删除同级目录下的 pnpm-lock.yaml文件，准备使用 pnpm install 重新生成 pnpm-lock.yaml 文件 `rm -rf pnpm-lock.yaml`

4.如果没有pnpm 命令，执行以下步骤，或者执行pnpm -v 出现版本号直接跳过这一步

# 一键脚本（官方推荐，自带最新版）
curl -fsSL https://get.pnpm.io/install.sh | sh -
 
# 装完后把 pnpm 加入 PATH
export PNPM_HOME="$HOME/.local/share/pnpm"
export PATH="$PNPM_HOME:$PATH"
 
# 出现版本号即可
pnpm -v

5.然后执行 `npm install` , 然后可能会失败，失败了也不用管。主要是需要生成 pnpm-lock.yaml 这个文件

6. 再次查看发现已经重新生成了 pnpm-lock.yaml 这个文件

7.修改/opt/app/dify/docker 下的 docker-compose.yaml 文件的657行左右，让他从新从web目录构建镜像,

    #image: langgenius/dify-web:1.8.0  原来的注释掉即可
    build: ../web

8.再次启动即可，进入 /opt/app/dify/docker 启动 `docker compose up -d`

9.执行时间较长，耐心等待即可，执行完后使用 `docker ps` 查看容器是否全部起来

9.全部起来后，进入 docker-web-1 容器验证

docker exec -it docker-web-1 sh

npm list next

npm list react

dify修复漏洞 React 和 Next.js 中的严重远程代码执行漏洞

修复方案

1.进入 /opt/app/dify/web 下查看 package.json 是否命中, 这边以"react": "19.1.2"和 "next": "~15.3.6"为例子,如果是不安全的，将版本号修改为对应安全的

3.删除同级目录下的 pnpm-lock.yaml文件，准备使用 pnpm install 重新生成 pnpm-lock.yaml 文件 rm -rf pnpm-lock.yaml

4.如果没有pnpm 命令，执行以下步骤，或者执行pnpm -v 出现版本号直接跳过这一步

5.然后执行 npm install , 然后可能会失败，失败了也不用管。主要是需要生成 pnpm-lock.yaml 这个文件

6. 再次查看发现已经重新生成了 pnpm-lock.yaml 这个文件

7.修改/opt/app/dify/docker 下的 docker-compose.yaml 文件的657行左右，让他从新从web目录构建镜像,

8.再次启动即可，进入 /opt/app/dify/docker 启动 docker compose up -d

9.执行时间较长，耐心等待即可，执行完后使用 docker ps 查看容器是否全部起来

9.全部起来后，进入 docker-web-1 容器验证

瀏覽過的版塊

3.删除同级目录下的 pnpm-lock.yaml文件，准备使用 pnpm install 重新生成 pnpm-lock.yaml 文件 `rm -rf pnpm-lock.yaml`

5.然后执行 `npm install` , 然后可能会失败，失败了也不用管。主要是需要生成 pnpm-lock.yaml 这个文件

8.再次启动即可，进入 /opt/app/dify/docker 启动 `docker compose up -d`

9.执行时间较长，耐心等待即可，执行完后使用 `docker ps` 查看容器是否全部起来