Vulnerabilidad en Directus (CVE-2024-47822)

Directus es una API en tiempo real y un panel de control de aplicaciones para administrar el contenido de bases de datos SQL. Los tokens de acceso de las cadenas de consulta no se eliminan y pueden quedar expuestos en registros del sistema que pueden persistir. El token de acceso en `req.query` no se elimina cuando `LOG_STYLE` se establece en `raw`. Si estos registros no se desinfectan o protegen adecuadamente, un atacante con acceso a ellos puede potencialmente obtener control administrativo, lo que lleva al acceso y manipulación de datos no autorizados. Esto afecta a los sistemas donde `LOG_STYLE` se establece en `raw`. El `access_token` en la consulta podría ser potencialmente un token estático de larga duración. Los usuarios con sistemas afectados deben rotar sus tokens estáticos si se les proporcionaron mediante una cadena de consulta. Esta vulnerabilidad se ha corregido en la versión de lanzamiento 10.13.2 y versiones posteriores también. Se recomienda a los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.