Rijkvanzanten

**Nome do software vulnerável e versões afetadas** Versões do Directus anteriores à 10.10.0 **Descrição** O problema diz respeito à inclusão de tokens de sessão em URLs, especificamente ao acessar a página “/files”, onde um JWT é transmitido por meio de uma solicitação GET. Isso representa um risco à segurança, pois as URLs são frequentemente registradas em vários locais, como logs de servidores web e histórico do navegador. Invasores que obtiverem acesso a esses logs podem sequestrar sessões de usuários ativas, levando ao acesso não autorizado a informações confidenciais ou à realização de ações em nome do usuário. **Recomendações** Para versões anteriores à 10.10.0, atualize para a versão 10.10.0 para resolver o problema. Como solução temporária, considere restringir o acesso à página “/files” até que a atualização seja aplicada. Evite usar o token `JWT` na solicitação GET para a página “/files” até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Directus anteriores à 10.8.3 **Descrição** O Directus é uma API em tempo real e um painel de controle de aplicativos para gerenciamento de conteúdo de bancos de dados SQL. Antes da versão 10.8.3, o número exato da versão do Directus era incluído em pacotes JS compilados, acessíveis sem autenticação. Com essas informações, um invasor mal-intencionado pode procurar vulnerabilidades conhecidas no núcleo do Directus ou em qualquer uma de suas dependências incluídas nessa versão específica em execução. **Recomendações** Para versões anteriores à 10.8.3, atualize para a versão 10.8.3 ou mais recente para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos pacotes JS compilados para minimizar o risco de exploração.