
/console/api/system-features security vulnerability
快速结论:该报错在安全扫描或渗透测试中发现。Dify 的 /console/api/system-features 接口设计上未做身份验证,属于有意为之的架构设计(用于控制台初始化前加载),但安全扫描工具会将其标记为未授权访问漏洞。优先确认是否需要做网络安全合规整改,以及是否已经匹配了 CVE 编号。
问题场景
用户自行部署 Dify(Docker 方式),在运行安全扫描或网安渗透测试时发现 /console/api/system-features 接口不需要任何认证即可访问,从而获取系统配置信息。用户尝试用 Nginx 拦截该接口后,Dify 页面报错无法正常加载。
报错原文
The /console/api/system-features interface has not implemented effective identity verification
The lack of authentication and authorization controls allows attackers to directly access the interface without authentication, thereby obtaining sensitive system configurations
原因分析
这是 Dify 的 有意为之(intentional by design) 的设计决策。该接口在用户登录之前就需要被调用,用于加载控制台首页所需要的非敏感系统配置(如可用功能列表、UI 设置等)。如果为该接口加上身份验证,会形成循环依赖:控制台无法在无认证时加载,而认证又依赖控制台先加载。因此该接口不能被直接添加登录保护。
但安全扫描工具会将其判定为安全漏洞,已有相关 CVE 编号(CVE-2025-63387)被分配。Dify 官方已在 PR #31392 中作为加固措施合并了改动:从无认证响应中移除冗余的许可证(license)数据,以遵循数据最小化原则。
环境排查
- Dify 版本:1.11.3(或类似版本)
- 部署方式:Self Hosted (Docker)
- 需要确认是否使用了 Nginx 反代(默认 Docker 部署包含 Nginx)
- 需要确认安全扫描工具是否已经识别并分配了 CVE
解决步骤
- 确认当前是否已启用任何网络层访问控制:例如 VPN、IP 白名单等。如果整个 Dify Console 已经受网络层保护,则该接口的“无认证”设计不构成外部风险。
- 如果仅需要应对安全扫描(不改变 Dify 功能):
可优先尝试 在 Nginx 层面为 /console/api/system-features 接口单独配置 IP 白名单,并对未授权访问返回空的 JSON 响应(而非 403 错误页),避免 Dify 页面崩溃。
具体操作为:修改docker/nginx/conf.d/default.conf.template,在 server 块内添加如下配置,然后重启 Nginx(或重新启动 Docker 容器):
location = /console/api/system-features {
allow [your IP];
deny all;
error_page 403 = @system_features_denied;
proxy_pass http://api:5001;
include proxy.conf;
}
location @system_features_denied {
add_header Content-Type application/json;
return 200 '{"code":200,"data":{"features":[]}}';
}
- 如果已经升级到包含 PR #31392 的版本:确认接口返回的数据是否已减少,仅返回真正必需的字段。
- 如果合规要求严格:建议使用 VPN 或 IP 白名单等网络层控制措施,而不仅仅依赖应用层的认证逻辑。
验证方法
在未登录状态下直接访问 /console/api/system-features 接口,确认是否能正常返回 JSON 数据,并且不包含敏感的系统信息。如果配置了 Nginx IP 白名单,用被允许的 IP 访问应正常返回,用被拒绝的 IP 访问应返回 {"code":200,"data":{"features":[]}}。同时确认 Dify 页面在登录前能正常加载。


![[Bug]: Tool schema marks **kwargs as a required (untyped) parameter, forcing the LLM to fill it](https://www.chat-gpts.plus/wp-content/uploads/2026/07/22134-dfdd0514-768x403.jpg)
