Vulnerabilidad en Directus (CVE-2024-54128)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

05/12/2024

Última modificación:

19/11/2025

Descripción

Directus es una API en tiempo real y un panel de control de aplicaciones para administrar el contenido de bases de datos SQL. La función de comentarios implementó un filtro para evitar que los usuarios agreguen caracteres restringidos, como etiquetas HTML. Sin embargo, este filtro opera en el lado del cliente, lo que puede eludirse, lo que hace que la aplicación sea vulnerable a la inyección de HTML. Esta vulnerabilidad se solucionó en 10.13.4 y 11.2.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.70 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.70

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:monospace:directus::::::node.js::*	10.10.0 (incluyendo)	10.13.4 (excluyendo)
cpe:2.3:a:monospace:directus::::::node.js::*	11.0.0 (incluyendo)	11.2.2 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/directus/directus/security/advisories/GHSA-r6wx-627v-gh2f