CVE-2025-53889

Nome do Software Vulnerável e Versões Afetadas Versões do Directus de 9.12.0 a 11.8.9

Descrição O Directus é uma API em tempo real e um painel de aplicativo para gerenciamento de conteúdo de banco de dados SQL. Os Flows com acionamento manual não validam se o usuário que aciona o Flow possui permissões para os itens fornecidos como payload ao Flow. Isso pode levar à execução de tarefas potenciais pelo Flow em nome de um atacante sem autenticação. Agentes mal-intencionados poderiam executar os Flows de acionamento manual sem autenticação ou direitos de acesso às coleções ou itens em questão. Os Flows de acionamento manual não validam atualmente se o usuário possui acesso de leitura a directus flows ou às coleções/itens relevantes.

Recomendações Atualize para a versão 11.9.0 ou posterior. Implemente verificações de permissão para acesso de leitura aos Flows. Implemente verificações de permissão para acesso de leitura às coleções/itens relevantes.