CVE-2025-55746

Nome do Software Vulnerável e Versões Afetadas Directus versões 10.8.0 até 11.9.2

Descrição Uma falha no mecanismo de atualização de arquivos da API Directus permite que um ator não autenticado modifique arquivos existentes com conteúdo arbitrário ou carregue novos arquivos com conteúdo e extensões arbitrários. Essas alterações ocorrem silenciosamente, pois não afetam os metadados residentes no banco de dados, e os novos arquivos carregados não aparecem na interface do usuário do Directus. O problema está localizado no endpoint /files, especificamente envolvendo o parâmetro pk usado para identificar arquivos via UUIDs. No manipulador de armazenamento local, as funções write() e fullpath() não sanitizam adequadamente o valor filename disk, permitindo que invasores ignorem o prefixo temp e coloquem arquivos com nomes arbitrários na pasta de upload.

Isso pode levar à Execução Remota de Código (RCE) se o servidor servir arquivos diretamente do diretório de upload, permitindo o carregamento de webshells (por exemplo, arquivos .php). Outros riscos incluem a criação de sites de phishing usando SVGs ou a contaminação de documentos hospedados. Estima-se que entre 10.600 e 177.700 instâncias possam estar expostas em todo o mundo.

Recomendações Atualizar para a versão 11.9.3. Como mitigação temporária, restrinja o acesso ao endpoint /files ou implemente um Web Application Firewall (WAF) para bloquear solicitações de upload suspeitas e extensões de arquivos executáveis, como .php, .jsp, .asp e .exe.