Fishuke

Nome do software vulnerável e versões afetadas: Versões do Directus 11.0.0 a 11.2.x Descrição: O Directus é uma API em tempo real e um painel de controle de aplicativos para gerenciar conteúdo de bancos de dados SQL. Ao definir `WEBSOCKETS GRAPHQL AUTH` ou `WEBSOCKETS REST AUTH` como “public”, um usuário não autenticado pode realizar qualquer uma das operações suportadas (CRUD, assinaturas) com privilégios administrativos completos. Isso afeta qualquer instância do Directus que tenha `WEBSOCKETS GRAPHQL AUTH` ou `WEBSOCKETS REST AUTH` definido como `public`, permitindo que usuários não autenticados se inscrevam para receber notificações de alterações em qualquer coleção ou realizem operações REST CRUD em coleções definidas pelo usuário, ignorando as permissões. Recomendações: Para as versões 11.0.0 a 11.2.x, atualize para a versão 11.3.0 para resolver o problema. Como solução alternativa temporária, considere definir `WEBSOCKETS GRAPHQL AUTH` e `WEBSOCKETS REST AUTH` com um valor diferente de “public” para restringir o acesso não autenticado. Restrinja o acesso aos pontos de extremidade da API WebSocket para minimizar o risco de exploração. Evite usar as configurações `WEBSOCKETS GRAPHQL AUTH` e `WEBSOCKETS REST AUTH` com o valor “public” até que o problema seja resolvido.