Hanneskuettner

**Nome do Software Vulnerável e Versões Afetadas** Versões do Directus anteriores a 11.1.2 **Descrição** O problema permite acesso de atualização a campos não intencionais devido a políticas sobrepostas para a ação `update`, potencialmente impactando o campo de senha das contas de usuário. Nas versões afetadas, se houver duas políticas sobrepostas que permitem acesso a campos diferentes, o usuário fica autorizado a atualizar o superconjunto de campos permitidos por qualquer uma das políticas. Por exemplo, havendo uma política que permite acesso de atualização a `field a` se o `id == 1` e uma política que permite acesso de atualização a `field b` se o `id == 2`, o usuário com ambas as políticas pode atualizar tanto `field a` quanto `field b` nos itens com ids `1` e `2`. A solução envolve avaliar as permissões para cada campo que o usuário tenta atualizar na consulta DB validateItemAccess, em vez de apenas verificar o acesso ao item como um todo. Isso é feito retornando um sinalizador que indica se o usuário tem acesso a esse campo, utilizando o mesmo mecanismo case/when empregado para remover campos não permitidos. **Recomendações** Para resolver o problema, atualize para a versão 11.1.2 ou posterior, pois esta versão corrige a vulnerabilidade e não há soluções alternativas conhecidas.