CVE-2025-27089

Nome do Software Vulnerável e Versões Afetadas Versões do Directus anteriores a 11.1.2

Descrição O problema permite acesso de atualização a campos não intencionais devido a políticas sobrepostas para a ação update, potencialmente impactando o campo de senha das contas de usuário. Nas versões afetadas, se houver duas políticas sobrepostas que permitem acesso a campos diferentes, o usuário fica autorizado a atualizar o superconjunto de campos permitidos por qualquer uma das políticas. Por exemplo, havendo uma política que permite acesso de atualização a field a se o id == 1 e uma política que permite acesso de atualização a field b se o id == 2, o usuário com ambas as políticas pode atualizar tanto field a quanto field b nos itens com ids 1 e 2. A solução envolve avaliar as permissões para cada campo que o usuário tenta atualizar na consulta DB validateItemAccess, em vez de apenas verificar o acesso ao item como um todo. Isso é feito retornando um sinalizador que indica se o usuário tem acesso a esse campo, utilizando o mesmo mecanismo case/when empregado para remover campos não permitidos.

Recomendações Para resolver o problema, atualize para a versão 11.1.2 ou posterior, pois esta versão corrige a vulnerabilidade e não há soluções alternativas conhecidas.