Vulnerabilidad en Directus (CVE-2024-27296)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
01/03/2024
Última modificación:
03/01/2025
Descripción
Directus es una API y un panel de aplicaciones en tiempo real para administrar el contenido de la base de datos SQL. Antes de la versión 10.8.3, el número exacto de versión de Directus se enviaba en paquetes JS compilados a los que se podía acceder sin autenticación. Con esta información, un atacante malicioso puede buscar trivialmente vulnerabilidades conocidas en el núcleo de Directus o cualquiera de sus dependencias enviadas en esa versión en ejecución específica. El problema se resolvió en las versiones 10.8.3 y posteriores.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:monospace:directus:*:*:*:*:*:node.js:*:* | 10.8.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/directus/directus/commit/a5a1c26ac48795ed3212a4c51b9523588aff4fa0
- https://github.com/directus/directus/security/advisories/GHSA-5mhg-wv8w-p59j
- https://github.com/directus/directus/commit/a5a1c26ac48795ed3212a4c51b9523588aff4fa0
- https://github.com/directus/directus/security/advisories/GHSA-5mhg-wv8w-p59j