Miguel Gã³Mez

**Nome do software vulnerável e versões afetadas** Directus versão 10.13.0 **Descrição** A vulnerabilidade permite que um invasor externo autenticado execute código JavaScript arbitrário no cliente. Isso é possível porque a aplicação injeta um parâmetro controlado pelo invasor em um elemento DOM não sanitizado. Quando combinada com outra vulnerabilidade, pode resultar na apropriação de contas. **Recomendações** Para a versão 10.13.0 do Directus, considere desativar a execução de código JavaScript externo como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a áreas sensíveis da aplicação para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Directus versão 10.13.0 **Descrição** A vulnerabilidade permite que um invasor externo autenticado modifique predefinições criadas pelo mesmo usuário para atribuí-las a outro usuário. Isso é possível porque o aplicativo valida apenas o parâmetro de usuário na solicitação ‘POST /presets’, mas não na solicitação PATCH. Quando combinada com outra vulnerabilidade, pode resultar na apropriação de conta. **Recomendações** Para a versão 10.13.0 do Directus, como solução temporária, considere restringir o acesso à solicitação ‘PATCH /presets’ para impedir a manipulação de predefinições até que uma correção esteja disponível. Além disso, monitore a atividade da conta do usuário em busca de sinais de acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.