Joselcvarela

Nome do software vulnerável e versões afetadas: Versões do Directus anteriores à 10.13.3 Versões do Directus anteriores à 11.1.0 Descrição: Um usuário não autenticado pode acessar as credenciais do último usuário autenticado via OpenID ou OAuth2 quando a URL de autenticação não inclui uma string de consulta `redirect`. Esse problema ocorre porque o middleware `respond` no Directus armazena em cache solicitações GET sob certas condições, o que não inclui esse cenário específico em que uma solicitação não autenticada retorna as credenciais do usuário. O número estimado de dispositivos potencialmente afetados não foi especificado. Recomendações: Para versões anteriores à 10.13.3, atualize para a versão 10.13.3 ou posterior para resolver o problema. Para versões anteriores à 11.1.0, atualize para a versão 11.1.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar a funcionalidade de cache até que um patch esteja disponível. Restrinja o acesso aos endpoints de autenticação, como `https://directus.example.com/auth/login/openid/callback`, para minimizar o risco de exploração.