CVE-2024-54151

Nome do software vulnerável e versões afetadas:

Versões do Directus 11.0.0 a 11.2.x

Descrição:

O Directus é uma API em tempo real e um painel de controle de aplicativos para gerenciar conteúdo de bancos de dados SQL. Ao definir WEBSOCKETS GRAPHQL AUTH ou WEBSOCKETS REST AUTH como “public”, um usuário não autenticado pode realizar qualquer uma das operações suportadas (CRUD, assinaturas) com privilégios administrativos completos. Isso afeta qualquer instância do Directus que tenha WEBSOCKETS GRAPHQL AUTH ou WEBSOCKETS REST AUTH definido como public, permitindo que usuários não autenticados se inscrevam para receber notificações de alterações em qualquer coleção ou realizem operações REST CRUD em coleções definidas pelo usuário, ignorando as permissões.

Recomendações:

Para as versões 11.0.0 a 11.2.x, atualize para a versão 11.3.0 para resolver o problema.

Como solução alternativa temporária, considere definir WEBSOCKETS GRAPHQL AUTH e WEBSOCKETS REST AUTH com um valor diferente de “public” para restringir o acesso não autenticado.

Restrinja o acesso aos pontos de extremidade da API WebSocket para minimizar o risco de exploração.

Evite usar as configurações WEBSOCKETS GRAPHQL AUTH e WEBSOCKETS REST AUTH com o valor “public” até que o problema seja resolvido.