PT-2021-17067 · Directus · Directus
Arnaud Courty
+1
·
Publicado
2021-02-23
·
Atualizado
2024-08-03
·
CVE-2021-26594
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Directus 8.x a 8.8.1
Descrição
Existe uma falha que permite que um invasor assuma a função de administrador sem qualquer controle por parte do back-end, utilizando o método PATCH. Essa falha afeta apenas produtos que não são mais suportados pelo mantenedor.
Recomendações
Para as versões 8.x a 8.8.1, como solução temporária, considere restringir o acesso ao método PATCH até que uma solução esteja disponível. No entanto, como essas versões não são mais suportadas, a principal recomendação é atualizar para uma versão suportada, se possível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Directus