Br41Nslug

Name of the Vulnerable Software and Affected Versions Directus versões anteriores a 11.17.0 Description Directus armazena registros de revisão em `directus revisions` sempre que os itens são criados ou atualizados. O código de snapshot de revisão não utilizava consistentemente o pipeline de sanitização `prepareDelta`, permitindo que campos confidenciais como tokens de usuário, segredos de autenticação de dois fatores, identificadores de autenticação externos, dados de autenticação, credenciais armazenadas e chaves de API de provedores de IA fossem armazenados em texto simples dentro dos registros de revisão. Isso pode permitir que um usuário ou conta de serviço com acesso de leitura a `directus revisions` recupere informações confidenciais, potencialmente levando à tomada de controle de conta ou uso não autorizado de chaves de API de terceiros. Recommendations Atualize para a versão 11.17.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Directus de 9.0.0 a 11.8.99 Descrição: O Directus é uma API em tempo real e um painel de aplicativo para gerenciamento de conteúdo de banco de dados SQL. O número exato da versão do Directus é exposto pelo endpoint `/server/specs/oas` sem autenticação em versões anteriores à 11.9.0. Isso permite que um atacante malicioso identifique a versão específica em execução e busque por vulnerabilidades conhecidas no núcleo do Directus ou em suas dependências. Recomendações: Atualize para a versão 11.9.0 ou posterior do Directus.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Directus de 10.10.0 a 11.4.x **Descrição** O problema permite que um usuário suspenso acesse a API utilizando um token gerado no modo de autenticação de sessão, apesar de seu status de suspensão. Isso ocorre devido à ausência de uma verificação na função `verifySessionJWT` para confirmar se o usuário ainda está ativo e autorizado a acessar a API. Um usuário suspenso pode continuar utilizando o token de sessão obtido antes da suspensão até que ele expire. **Recomendações** Para as versões de 10.10.0 a 11.4.x, atualize para a versão 11.5.0 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso à API para usuários suspensos implementando verificações adicionais sobre o status do usuário até que o patch possa ser aplicado.