Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Directus (CVE-2024-27296)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
01/03/2024
Última modificación:
03/01/2025

Descripción

Directus es una API y un panel de aplicaciones en tiempo real para administrar el contenido de la base de datos SQL. Antes de la versión 10.8.3, el número exacto de versión de Directus se enviaba en paquetes JS compilados a los que se podía acceder sin autenticación. Con esta información, un atacante malicioso puede buscar trivialmente vulnerabilidades conocidas en el núcleo de Directus o cualquiera de sus dependencias enviadas en esa versión en ejecución específica. El problema se resolvió en las versiones 10.8.3 y posteriores.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:monospace:directus:*:*:*:*:*:node.js:*:* 10.8.3 (excluyendo)