BDU:2025-05409

Опубликовано: 23 янв. 2025

Источник: fstec

CVSS3: 5

CVSS2: 4

EPSS Низкий

Описание

Уязвимость прикладного программного интерфейса управления содержимым базы данных SQL Directus связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии путём использования некоторых административных функций

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Directus

Версия ПО

до 11.2.0 (Directus)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/directus/directus/security/advisories/GHSA-pmf4-v838-29hg

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-24353
CVE

EPSS

Процентиль: 39%

0.00173

Низкий

5 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

CVE-2025-24353

CVSS3: 5

nvd

около 1 года назад

Directus is a real-time API and App dashboard for managing SQL database content. Prior to version 11.2.0, when sharing an item, a typical user can specify an arbitrary role. It allows the user to use a higher-privileged role to see fields that otherwise the user should not be able to see. Instances that are impacted are those that use the share feature and have specific roles hierarchy and fields that are not visible for certain roles. Version 11.2.0 contains a patch the issue.

GHSA-pmf4-v838-29hg

CVSS3: 5

github

около 1 года назад

Directus allows privilege escalation using Share feature

EPSS

Процентиль: 39%

0.00173

Низкий

5 Medium

CVSS3

4 Medium

CVSS2