BDU:2025-02550

Опубликовано: 05 июл. 2024

Источник: fstec

CVSS3: 4.3

CVSS2: 4

EPSS Низкий

Описание

Уязвимость панели приложений в реальном времени управления содержимым базы данных SQL Directus связана с обходом авторизации посредством использования ключа, контролируемого пользователем. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к учётной записи пользователя

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Directus

Версия ПО

10.13.0 (Directus)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Обновление программного обеспечения до версии 10.13.1 и выше

https://github.com/directus/directus/releases?page=3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-6534
CVE

EPSS

Процентиль: 21%

0.00069

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

CVE-2024-6534

CVSS3: 4.3

nvd

больше 1 года назад

Directus v10.13.0 allows an authenticated external attacker to modify presets created by the same user to assign them to another user. This is possible because the application only validates the user parameter in the 'POST /presets' request but not in the PATCH request. When chained with CVE-2024-6533, it could result in account takeover.

GHSA-3fff-gqw3-vj86

CVSS3: 4.1

github