CVE-2026-39942

Name of the Vulnerable Software and Affected Versions Directus versões anteriores a 11.17.0

Description A API de gerenciamento de arquivos do Directus contém um problema de controle de acesso que permite que usuários autenticados sobrescrevam arquivos pertencentes a outros usuários manipulando o parâmetro filename disk no endpoint PATCH /files/{id}. Ao definir este valor para corresponder ao caminho de armazenamento de outro arquivo de usuário, um invasor pode sobrescrever o conteúdo do arquivo e manipular campos de metadados como uploaded by para ocultar a adulteração. Isso pode levar a sobrescritas de arquivos não autorizadas, potencial execução remota de código se o backend de armazenamento for compartilhado com o local das extensões e comprometimento da integridade dos dados.

Recommendations Atualize para a versão 11.17.0 ou posterior.