R4Bbit-R4

**Nome do Software Vulnerável e Versões Afetadas** Directus versões 10.8.0 até 11.9.2 **Descrição** Uma falha no mecanismo de atualização de arquivos da API Directus permite que um ator não autenticado modifique arquivos existentes com conteúdo arbitrário ou carregue novos arquivos com conteúdo e extensões arbitrários. Essas alterações ocorrem silenciosamente, pois não afetam os metadados residentes no banco de dados, e os novos arquivos carregados não aparecem na interface do usuário do Directus. O problema está localizado no endpoint `/files`, especificamente envolvendo o parâmetro `pk` usado para identificar arquivos via UUIDs. No manipulador de armazenamento local, as funções `write()` e `fullpath()` não sanitizam adequadamente o valor `filename disk`, permitindo que invasores ignorem o prefixo `temp ` e coloquem arquivos com nomes arbitrários na pasta de upload. Isso pode levar à Execução Remota de Código (RCE) se o servidor servir arquivos diretamente do diretório de upload, permitindo o carregamento de webshells (por exemplo, arquivos `.php`). Outros riscos incluem a criação de sites de phishing usando SVGs ou a contaminação de documentos hospedados. Estima-se que entre 10.600 e 177.700 instâncias possam estar expostas em todo o mundo. **Recomendações** Atualizar para a versão 11.9.3. Como mitigação temporária, restrinja o acesso ao endpoint `/files` ou implemente um Web Application Firewall (WAF) para bloquear solicitações de upload suspeitas e extensões de arquivos executáveis, como `.php`, `.jsp`, `.asp` e `.exe`.