Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Directus (CVE-2024-34709)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2024
Última modificación:
03/01/2025

Descripción

Directus es una API y un panel de aplicaciones en tiempo real para administrar el contenido de la base de datos SQL. Antes de 10.11.0, los tokens de sesión funcionaban como los otros tokens JWT, donde en realidad no se invalidaban al cerrar sesión. La `directus_session` se destruye y la cookie se elimina, pero si se captura el valor de la cookie, seguirá funcionando durante todo el tiempo de caducidad, que está establecido en 1 día de forma predeterminada. Lo que lo convierte efectivamente en un token sin estado, irrevocable y de larga duración, en lugar del token de sesión con estado que debía ser. Esta vulnerabilidad se solucionó en 10.11.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:monospace:directus:*:*:*:*:*:node.js:*:* 10.11.0 (excluyendo)