PT-2024-37696 · Directus · Directus
Miguel Gã³Mez
·
Publicado
2024-07-05
·
Atualizado
2025-05-19
·
CVE-2024-6534
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N |
Nome do software vulnerável e versões afetadas
Directus versão 10.13.0
Descrição
A vulnerabilidade permite que um invasor externo autenticado modifique predefinições criadas pelo mesmo usuário para atribuí-las a outro usuário. Isso é possível porque o aplicativo valida apenas o parâmetro de usuário na solicitação ‘POST /presets’, mas não na solicitação PATCH. Quando combinada com outra vulnerabilidade, pode resultar na apropriação de conta.
Recomendações
Para a versão 10.13.0 do Directus, como solução temporária, considere restringir o acesso à solicitação ‘PATCH /presets’ para impedir a manipulação de predefinições até que uma correção esteja disponível. Além disso, monitore a atividade da conta do usuário em busca de sinais de acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Directus