PT-2022-15836 · Directus · Directus

Publicado

2022-06-22

·

Atualizado

2022-07-05

·

CVE-2022-23080

CVSS v3.1

5.0

Média

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Directus v9.0.0-beta.2 a 9.6.0
Descrição
A vulnerabilidade permite que um usuário com privilégios limitados execute varreduras de portas da rede interna por meio de falsificação de solicitação do lado do servidor (SSRF) na funcionalidade de upload de mídia.
Recomendações
Para as versões v9.0.0-beta.2 a 9.6.0, considere desativar a funcionalidade de upload de mídia até que uma correção esteja disponível para impedir a exploração da vulnerabilidade SSRF.

Exploit

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

CVE-2022-23080
GHSA-5H75-PVQ4-82C9

Produtos afetados

Directus