PT-2022-23129 · Directus · Directus
Witold Gorecki
·
Publicado
2022-08-19
·
Atualizado
2022-08-30
·
CVE-2022-36031
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Directus anteriores à 9.15.0
Descrição
O processo do Directus pode ser interrompido se um usuário autorizado atualizar o valor
filename disk para uma pasta e acessar esse arquivo através do endpoint “/assets”. Esta falha já foi corrigida e a versão 9.15.0 contém a correção. Recomenda-se que os usuários atualizem para evitar o problema.Recomendações
Para versões anteriores à 9.15.0, atualize para a versão 9.15.0 ou posterior para resolver o problema.
Como solução alternativa temporária para usuários que não possam atualizar, evite o problema garantindo que nenhum usuário não administrador (não confiável) tenha permissões para atualizar o campo
filename disk em directus files.Exploit
Correção
Improper Handling of Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Directus