CVE-2025-30353

Nome do Software Vulnerável e Versões Afetadas Versões do Directus de 9.12.0 a 11.4.0

Descrição O Directus é uma API em tempo real e painel de aplicativo para gerenciamento de conteúdo de banco de dados SQL. Quando um Fluxo com o gatilho "Webhook" e o corpo de resposta "Data of Last Operation" encontra um ValidationError lançado por uma operação de condição com falha, a resposta da API inclui dados sensíveis. Isso inclui variáveis de ambiente, chaves de API sensíveis, informações de responsabilização do usuário e dados operacionais. Este problema representa um risco de segurança significativo, pois qualquer exposição não intencional desses dados pode levar a um uso indevido.

Recomendações Para resolver o problema, atualize para a versão 11.5.0 ou posterior. Como solução temporária, considere desativar o gatilho "Webhook" em Fluxos que utilizam o corpo de resposta "Data of Last Operation" para minimizar o risco de exploração. Restrinja o acesso a dados sensíveis e logs operacionais para impedir exposição não autorizada. Evite utilizar a variável env e outros parâmetros sensíveis no endpoint da API afetado até que o problema seja resolvido.