PT-2022-15253 · Directus · Directus
Publicado
2022-01-10
·
Atualizado
2022-01-14
·
CVE-2022-22116
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Directus 9.0.0-alpha.4 a 9.4.1
Descrição
O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada por meio do upload de arquivos SVG na funcionalidade de upload de mídia. Um invasor com privilégios limitados pode injetar código JavaScript arbitrário, que será executado no navegador da vítima quando ela abrir a URL da imagem.
Recomendações
Para as versões 9.0.0-alpha.4 a 9.4.1, considere desativar a funcionalidade de upload de mídia, especificamente o recurso de upload de arquivos SVG, até que uma correção esteja disponível. Restrinja o acesso ao módulo de upload de mídia para minimizar o risco de exploração. Evite usar a funcionalidade de upload de mídia nas versões afetadas até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Directus