CVE-2024-39895

Versões do Directus anteriores à 10.12.0

É possível ocorrer um ataque de negação de serviço (DoS) por meio da duplicação de campos no GraphQL, no qual um invasor explora a flexibilidade do GraphQL para sobrecarregar um servidor, solicitando o mesmo campo várias vezes em uma única consulta. Isso pode fazer com que o servidor execute cálculos redundantes e consuma recursos excessivos, levando a uma negação de serviço para usuários legítimos. As solicitações para o endpoint “/graphql” são enviadas ao visualizar gráficos gerados em um painel. Ao modificar os dados enviados e duplicar os campos várias vezes, um ataque DoS é possível. Os campos max e id são especificamente vulneráveis a esse tipo de ataque.

Para versões anteriores à 10.12.0, atualize para a versão 10.12.0 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao endpoint “/graphql” ou limitar o número de campos repetidos em uma única consulta para minimizar o risco de exploração.