Asantof

**Nome do software vulnerável e versões afetadas** Versões do Directus anteriores à 10.12.0 **Descrição** É possível ocorrer um ataque de negação de serviço (DoS) por meio da duplicação de campos no GraphQL, no qual um invasor explora a flexibilidade do GraphQL para sobrecarregar um servidor, solicitando o mesmo campo várias vezes em uma única consulta. Isso pode fazer com que o servidor execute cálculos redundantes e consuma recursos excessivos, levando a uma negação de serviço para usuários legítimos. As solicitações para o endpoint “/graphql” são enviadas ao visualizar gráficos gerados em um painel. Ao modificar os dados enviados e duplicar os campos várias vezes, um ataque DoS é possível. Os campos `max` e `id` são especificamente vulneráveis a esse tipo de ataque. **Recomendações** Para versões anteriores à 10.12.0, atualize para a versão 10.12.0 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint “/graphql” ou limitar o número de campos repetidos em uma única consulta para minimizar o risco de exploração.