大家好,我是荣姐。
Dify 官方发布了 v1.11.1 版本。为什么更新频率如此之快,主要还是修安全漏洞。
不同于以往的功能迭代,官方给这次更新打上了 Important(重要)的标签,并明确建议所有用户尽快升级。
本次主要升级点在于:安全加固与性能飞跃。
1 升级亮点
1.1 核心依赖库安全升级 (Security)
这是本次更新的最优先事项。
Dify 将前端核心框架 react 和 react-dom 升级到了 19.2.3,并同步更新了 Next.js 的安全补丁。这次修复的是核心依赖库中已知的 CVE 漏洞。对于企业级部署,尤其是对安全合规有要求的环境,这次升级属于必选项,能有效降低应用的安全风险。
1.2 Excel 等功能新增与性能优化
- Excel 解析质变: 重构了 Excel 提取器,大幅优化了性能和内存占用,处理大文件更稳、更快。
- 文档入库提速: 优化了 save_document_with_dataset_id 函数,提升了文档处理和入库的效率。
- Amplitude 集成: 新增了 Amplitude API Key 集成,在布局和组件中预埋了分析能力,方便做更深度的用户行为分析。
1.3 Bug修复
- 凭据管理修复: 修复了 available_credentials 在特定情况下显示为空的问题,保证鉴权列表正常展示。
- 描述不再报错: 以前自动生成的应用描述如果超长(超过400字符)会报错,现在系统会自动截断,不再阻碍应用创建。
- DOCX 图片问题: 修复了 DOCX 文件中包含外部图片导致解析失败的问题,文档清洗成功率提升。
- Token 检索容错: 当 access_token 为空时,现在会优雅地返回 None 而不是直接抛错,代码逻辑更健壮。
- Content Type: 响应头现在明确包含 charset,确保数据格式一致性。
- Flask 报错: 移除了 validate=True 导致的 AttributeError,后端日志清净了不少。
- Hit-Test 修复: 解决了当附件 ID 不存在时,Hit-Test(命中测试)直接失败的问题。
2 Docker升级指南
1、备份yaml文件
cd docker
cp docker-compose.yaml docker-compose.yaml.$(date +%s).bak2、从主分支获取最新代码
git checkout main
git pull origin main3、停止服务,在docker目录下执行
docker compose down4、备份数据
tar -cvf volumes-$(date +%s).tgz volumes5、升级服务
docker compose up -d本次升级特意指出,如果遇到数据库连接错误host=db_postgres user=postgres database=dify_plugin:
请用docker compose --profile postgresql up -d启动。
2025/11/26 11:37:57 /app/internal/db/pg/pg.go:30
[error] failed to initialize database, got error failed to connect to host=db_postgres user=postgres database=dify_plugin: hostname resolving error (lookup db_postgres on 127.0.0.11:53: server misbehaving)
2025/11/26 11:37:57 /app/internal/db/pg/pg.go:34
[error] failed to initialize database, got error failed to connect to host=db_postgres user=postgres database=postgres: hostname > resolving error (lookup db_postgres on 127.0.0.11:53: server misbehaving)
2025/11/26 11:37:57 init.go:99: [PANIC]failed to init dify plugin db: failed to connect to host=db_postgres user=postgres database=postgres: hostname resolving error (lookup db_postgres on 127.0.0.11:53: server misbehaving)
panic: [PANIC]failed to init dify plugin db: failed to connect to host=db_postgres user=postgres database=postgres: hostname resolving error (lookup db_postgres on 127.0.0.11:53: server misbehaving)
可改用下面命令,可以保证数据库服务被正确拉起来。
docker compose --profile postgresql up -d之前聊过CVE-2025-55182漏洞,漏洞利用成本极低,非常容易复现。
1、无需登陆:黑客不需要账号,也不需要管理员权限。
2、远程控制:只需向服务器发送一段精心构造的数据,就能直接接管你的服务器(远程代码执行 RCE)。
3、POC已公开:攻击验证代码已经在互联网上流传,被扫描和攻击的风险极大。
之前Dify专门出了个v1.10.1-fix.1修复此漏洞,前端升级 React 19.2.1,Next.js升级到15.5.7,
此版本又进行了再次升级,将react 和 react-dom 升级到 19.2.3 版本。