Vulnerabilidad en Directus (CVE-2025-53889)

Directus es una API en tiempo real y un panel de control de aplicaciones para gestionar el contenido de bases de datos SQL. A partir de la versión 9.12.0 y anteriores a la 11.9.0, los flujos de Directus con un disparador manual no validan si el usuario que los activa tiene permisos sobre los elementos proporcionados como payload. Dependiendo de la configuración del flujo, esto puede provocar que ejecute tareas en nombre del atacante sin autenticarse. Los atacantes podrían ejecutar los flujos de activación manual sin autenticación ni derechos de acceso a dichas colecciones o elementos. Los usuarios con flujos de activación manual configurados se ven afectados, ya que estos endpoints no validan actualmente si el usuario tiene acceso de lectura a `directus_flows` o a la colección o los elementos relevantes. Los flujos de activación manual deberían tener requisitos de seguridad más estrictos que los flujos de webhook, donde se espera que los usuarios realicen sus propias comprobaciones. La versión 11.9.0 soluciona el problema. Como solución alternativa, implemente comprobaciones de permisos para el acceso de lectura a los flujos y el acceso de lectura a la colección o los elementos relevantes.