CVE-2024-34708

Versões do Directus anteriores à 10.11.0

Um usuário com permissão para visualizar qualquer coleção que utilize campos com hash censurados pode acessar a versão bruta armazenada usando a funcionalidade alias na API. Normalmente, esses campos censurados retornam ********** , mas ao alterar a solicitação para ?alias[workaround]=redacted, é possível recuperar o valor em texto simples do campo. Essa vulnerabilidade pode ser explorada ao acessar pontos de extremidade específicos da API, como /users/me e, em seguida, /users/me?alias[hash]=password, para obter o hash da senha em formato bruto em vez do valor censurado.

Para versões anteriores à 10.11.0, remova totalmente a permissão para visualizar campos confidenciais de usuários ou funções que não devem ter acesso a eles. Isso pode ser feito ajustando as configurações de funções e permissões no painel do Directus para restringir o acesso a informações confidenciais. Como solução alternativa temporária, considere restringir o acesso à funcionalidade alias na API até que a falha seja resolvida com a atualização para a versão 10.11.0 ou posterior.