CVE-2025-30351

Nome do Software Vulnerável e Versões Afetadas Versões do Directus de 10.10.0 a 11.4.x

Descrição O problema permite que um usuário suspenso acesse a API utilizando um token gerado no modo de autenticação de sessão, apesar de seu status de suspensão. Isso ocorre devido à ausência de uma verificação na função verifySessionJWT para confirmar se o usuário ainda está ativo e autorizado a acessar a API. Um usuário suspenso pode continuar utilizando o token de sessão obtido antes da suspensão até que ele expire.

Recomendações Para as versões de 10.10.0 a 11.4.x, atualize para a versão 11.5.0 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso à API para usuários suspensos implementando verificações adicionais sobre o status do usuário até que o patch possa ser aplicado.