Dify 1.11.4 업데이트 (2026-01-15), Node.js 취약점 CVE-2025-59466

Node.js 취약점 CVE-2025-59466에 대응하는 Dify v1.11.4 업데이트

Jan 16, 2026

Dify 1.11.4 업데이트 (2026-01-15), Node.js 취약점 CVE-2025-59466

Contents

Node.js CVE-2025-59466 취약점 참고할 만한 취약점 내용 Dify 업데이트 내용 Dify 업데이트 방법 에러가 발생하는 경우

안녕하세요.

최근에 발견된 Node.js의 취약점 CVE-2025-59466의 업데이트가 있었습니다.
Node.js의 AsyncLocalStorage 구현과 관련된 CVE-2025-59466 취약점이 최근에 발견되었습니다. 이 취약점은 서비스 거부(DoS) 공격으로 이어질 수 있습니다.

따라서 Dify에서도 대응하고자 Node.js 버젼을 24.13.0으로 변경한 업데이트 Community Edition v1.11.4를 배포하였습니다.

https://github.com/langgenius/dify/releases/tag/1.11.4

Enterpriser Edition 버젼은 v3.7.3 으로 업데이트 되었습니다.

https://langgenius.github.io/dify-helm/#/pages/3_7_3?id=v373

Node.js CVE-2025-59466 취약점

문제 핵심: Node.js에서 async_hooks.createHook()가 활성화된 상태에서는, 사용자 코드에서 깊은 재귀 등으로 스택이 소진될 때 발생하는 “Maximum call stack size exceeded” 오류가 정상적인 예외 흐름으로 전달되지 않고, 프로세스가 종료될 수 있습니다.
영향: 원격 공격자가 입력을 조작해 재귀 깊이를 키울 수 있는 경로가 있으면, 해당 요청만으로도 서버 프로세스가 종료되어 DoS로 이어질 수 있습니다.
영향 범위가 넓은 이유: AsyncLocalStorage는 다양한 프레임워크/관측(APM) 도구에서 널리 사용됩니다. The Hacker News는 React Server Components, Next.js, 여러 APM 도구들이 연관될 수 있다고 전합니다(이는 “영향 가능성” 설명이며, 각 제품/버전의 실제 영향 여부는 개별 확인이 필요합니다).
직접 영향 대상: Node.js 런타임에서 AsyncLocalStorage 또는 async_hooks.createHook()를 사용하는 애플리케이션.
특히 위험해지는 조건: 외부 입력(예: HTTP 요청 파라미터/본문)이 재귀 깊이나 유사한 호출 구조를 사실상 제어할 수 있고, 그 입력을 충분히 제한(검증)하지 않는 경우.
컴포넌트: Node.js의 async_hooks 모듈과 관련 에러 핸들링 경로(AsyncLocalStorage 포함).
공격 벡터: Tenable 기준 CVSS v3 벡터가 AV:N(Network)로 표시되어 네트워크를 통한 원격 트리거가 가능한 것으로 정리되어 있습니다.
일반적으로 스택 오버플로는 애플리케이션 오류로 끝날 수 있지만, 많은 Node.js 서비스는 “catch 가능한 오류”로 처리되는 것을 전제로 안정성을 유지해 왔습니다.
그런데 이 이슈는 특정 조건(async_hooks 사용)에서 그 전제가 깨지며, 요청 하나가 프로세스 종료로 이어질 수 있어 가용성(Availability) 관점에서 위험합니다.
Tenable 설명에 따르면, async_hooks.createHook()가 켜진 상황에서 깊은 재귀를 유발하면 스택 소진 오류가 발생합니다.
정상이라면 이 오류가 예외 처리 흐름(예: process.on('uncaughtException'))으로 전달될 수 있지만, 해당 결함 조건에서는 그 경로로 가지 않고 프로세스가 종료되어 “복구 불가능한 크래시”가 됩니다.
The Hacker News는 Node.js가 이 상황에서 exit code 7로 종료될 수 있다고 전합니다.

참고할 만한 취약점 내용

Tenable CVE 요약: https://www.tenable.com/cve/CVE-2025-59466
Dynatrace 보안 알림(패치 버전 명시): https://www.dynatrace.com/news/security-alert/cve-2025-59466/
The Hacker News 보도(영향/버전/설명 인용): https://thehackernews.com/2026/01/critical-nodejs-vulnerability-can-cause.html
SUSE CVE 페이지(배포판 관점 영향/스코어): https://www.suse.com/security/cve/CVE-2025-59466.html

Dify 업데이트 내용

🔒 Security
Dify now requires Node.js 24.13.0 to pick up the upstream fix for the AsyncLocalStorage/async_hooks DoS CVE that can crash apps with deeply nested input. All self-hosted deployments should upgrade Node.js. Thanks to @hyoban in #30945.
Related: #30935.
🛠️ Bug Fixes
Redirect After Login: We’ve sorted out the login redirects to bring you back to your intended destination smoothly after logging in. Shoutout to @hyoban for this fix in #30985.
Missing ID and Message ID: Missing the essentials? Not anymore! We’ve patched the missing id and message_id issue, thanks to @fatelei in #31008.
Destructuring Undefined Properties: Ever run into that annoying error where you can't destructure name from value because it's undefined? That’s been crushed too, all thanks to @fatelei in #30991.

Dify 업데이트 방법

Dify 설치 : 최신버젼으로 업데이트하는 방법
https://blog.open-network.co.kr/dify-install-latest-update

주의 : 실행 중인 도커 컨테이너가 있는 경우 백업 및 종료 후 업데이트 해야 합니다.

에러가 발생하는 경우

Dify 설치 : contains unsupported option: 'required' 오류가 발생하는 경우
https://blog.open-network.co.kr/dify-install-unsupported-option-error

Dify 설치 : Permission denied (OS error 13)
https://blog.open-network.co.kr/dify-install-permission-denied

오픈네트웍시스템 박종상