CVE-2024-54128

Опубликовано: 05 дек. 2024

Источник: nvd

CVSS3: 5.7

CVSS3: 4.6

EPSS Низкий

Описание

Directus is a real-time API and App dashboard for managing SQL database content. The Comment feature has implemented a filter to prevent users from adding restricted characters, such as HTML tags. However, this filter operates on the client-side, which can be bypassed, making the application vulnerable to HTML Injection. This vulerability is fixed in 10.13.4 and 11.2.0.

Ссылки

https://github.com/directus/directus/security/advisories/GHSA-r6wx-627v-gh2f
Exploit
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:monospace:directus:*:*:*:*:*:node.js:*:*

Версия от 10.10.0 (включая) до 10.13.4 (исключая)

cpe:2.3:a:monospace:directus:*:*:*:*:*:node.js:*:*

Версия от 11.0.0 (включая) до 11.2.2 (исключая)

EPSS

Процентиль: 45%

0.00229

Низкий

5.7 Medium

CVSS3

4.6 Medium

CVSS3

Дефекты

CWE-80

Связанные уязвимости

GHSA-r6wx-627v-gh2f

CVSS3: 5.7

github

около 1 года назад

Directus has an HTML Injection in Comment

EPSS

Процентиль: 45%

0.00229

Низкий

5.7 Medium

CVSS3

4.6 Medium

CVSS3

Дефекты

CWE-80