V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
RangerstudioПриложениеanchore_overrides,nvd

Directus

Уязвимости
54
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.04867

Распределение по критичности

Критический
2
Высокий
13
Средний
38
Низкий
1

Затронутые диапазоны версий

10.10.0–10.11.010.10.0–10.13.410.10.0–11.5.010.8.0–11.9.311.0.0–11.1.211.0.0–11.3.08.0.0–8.8.18.0.0–8.8.29.0.0-alpha.4–11.5.09.0.0–11.9.09.0.1–9.4.19.0.1–9.6.09.11–10.13.09.12.0–11.5.09.12.0–11.9.09.22.0–11.5.09.23.0–10.6.0< 10.10.0< 10.11.0< 10.11.2< 10.12.0< 10.13.2< 10.13.3< 10.8.3
Также сопоставлено как (исходные строки): directus

Топ уязвимостей

CVE-2018-10723Directus 6.4.9 имеет жестко закодированный пароль администратора для учетной записи Admin из-за оператора INSERT в api/schema.sql.
CVE-2026-35408Directus - это API и панель данных приложений в реальном времени для управления контентом баз данных SQL. До 11.17.0 на страницах входа Directus Single Sign-On (SSO) не было заголовка HTTP-ответа Cross-Origin-Opener-Policy (COOP). Без этого заголовка вредоносное окно перекрестного происхождения, открывающее страницу входа в Directus, сохраняет возможность доступа к объекту окна этой страницы и манипулирования ими. Злоумышленник может использовать это для перехвата и перенаправления потока авторизации OAuth клиенту, контролируемому злоумышленником, в результате чего жертва неосознанно предоставляет доступ к своей учетной записи поставщика аутентификации (например,). Google, Раздор). Эта уязвимость исправлена в 11.17.0.
CVE-2026-39942Directus - это API и панель инструментов приложения в реальном времени для управления содержимым баз данных SQL. До 11.17.0 конечную точку PATCH/files/{id} принимает параметр filename_disk, контролируемый пользователем. Установив это значение в соответствии с хранилищем файла другого пользователя, злоумышленник может перезаписать содержимое этого файла, манипулируя полями метаданных, такими как upload_by, чтобы скрыть фальсификацию. Эта уязвимость фиксируется в 11.17.0.
CVE-2021-29641Directus 8 до версии 8.8.2 позволяет удаленным аутентифицированным пользователям выполнять произвольный код, поскольку разрешения на загрузку файлов включают возможность загрузки PHP-файла в основной каталог загрузки и/или загрузки PHP-файла и файла .htaccess в подкаталог. Эксплуатация успешна только для определенных установок с Apache HTTP Server и драйвером локального хранилища (например, когда продукт был получен с hub.docker.com).
CVE-2021-26594В Directus версий 8.x - 8.8.1 злоумышленник может переключиться на роль администратора (через метод PATCH) без какого-либо контроля со стороны бэкэнда. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются сопровождающим.
CVE-2024-27295Directus - это API и панель управления приложениями в реальном времени для управления содержимым базы данных SQL. Механизм сброса пароля в серверной части Directus позволяет злоумышленникам получать электронное письмо со сбросом пароля пользователя-жертвы, в частности, получая его на адрес электронной почты, аналогичный адресу жертвы, с одним или несколькими символами, измененными для использования акцентов. Это связано с тем, что по умолчанию MySQL/MariaDB настроены для сравнений, нечувствительных к акцентам и регистру. Эта уязвимость исправлена в версии 10.8.3.
CVE-2026-35442Directus - это API и панель инструментов приложения в реальном времени для управления контентом баз данных SQL. До 11.17.0 агрегированные функции (мин, макс) применялись к полям с скрытым специальным типом неправильно возвращать необработанные значения базы данных вместо заполнителя в маске. В сочетании с groupBy любой аутентифицированный пользователь с доступом к прочтению к затронутой коллекции может извлечь скрытые значения поля, включая статические токены API и секреты двухфакторной аутентификации от directus_users. Эта уязвимость фиксируется в 11.17.0.
CVE-2026-35412Directus - это API и панель данных приложений в реальном времени для управления контентом баз данных SQL. До 11.16.1, TUS-реформаторная конечная точка загрузки Directus TUS (/files/tus) позволяет любому аутентифицированному пользователю с основными разрешениями загрузки файлов перезаписывать произвольные существующие файлы UUID. Контроллер TUS выполняет только проверки авторизации на уровне коллекции, проверяя, что пользователь имеет некоторое разрешение на directus_files, но никогда не проверяет доступ на уровне элемента к конкретному заменяемому файлу. В результате правила разрешения на уровне строк (например, «пользователи могут обновлять только свои собственные файлы») полностью обходят путь TUS, в то время как они правильно применяются на стандартном пути загрузки REST. Эта уязвимость исправлена в 11.16.1.
CVE-2026-35409Directus - это API и панель данных приложений в реальном времени для управления контентом баз данных SQL. До 11.16.0 в Directus был идентифицирован и исправлен обход защиты от подделки запроса на серверную сторону (SSRF). Механизм проверки IP-адресов, используемый для блокировки запросов в локальные и частные сети, может быть обойден с использованием IPv4-Mapped IPv6-адресации. Эта уязвимость зафиксирована в 11.16.0.
CVE-2024-39701Directus — это API в реальном времени и панель управления приложениями для управления содержимым базы данных SQL. Directus >=9.23.0, <=v10.5.3 неправильно обрабатывает операторы _in, _nin. Он оценивает пустые массивы как допустимые, поэтому выражения типа {"role": {"_in": $CURRENT_USER.some_field}} будут оцениваться как true, что позволит запросу пройти. Это приводит к нарушению контроля доступа, поскольку правило не выполняет то, что оно должно делать: передавать правило, если **поле** соответствует любому из **значений**. Эта уязвимость исправлена в версии 10.6.0.
CVE-2025-55746Directus - это API и панель данных приложений в реальном времени для управления контентом баз данных SQL. С 10.8.0 до 11.9.3 в механизме обновления файлов существует уязвимость, которая позволяет неаутентифицированному субъекту изменять существующие файлы с произвольным содержимым (без изменений, применяемых к метаданным базы данных файлов) и / или загружать новые файлы с произвольным контентом и расширениями, которые не будут отображаться в интерфейсе Directus. Эта уязвимость зафиксирована в пункте 11.9.3.
CVE-2025-30353Directus — это API в режиме реального времени и панель приложений для управления содержимым SQL базы данных. Начиная с версии 9.12.0 и до версии 11.5.0, когда поток с триггером "Webhook" и телом ответа "Данные последней операции" сталкивается с ValidationError, сгенерированным неудачной операцией условия, ответ API включает чувствительные данные. Включает в себя переменные окружения, ключи API, информацию об ответственности пользователей и операционные данные. Эта проблема представляет собой значительный риск безопасности, так как любое непреднамеренное раскрытие этих данных может привести к потенциальному неправильному использованию. Версия 11.5.0 устраняет эту проблему.
CVE-2024-54151Directus — это API в реальном времени и панель управления приложениями для управления содержимым базы данных SQL. Начиная с версии 11.0.0 и до версии 11.3.0, при установке для `WEBSOCKETS_GRAPHQL_AUTH` или `WEBSOCKETS_REST_AUTH` значения "public" не прошедший проверку подлинности пользователь может выполнять любые поддерживаемые операции (CRUD, подписки) с полными правами администратора. Это влияет на любой экземпляр Directus, для которого для `WEBSOCKETS_GRAPHQL_AUTH` или `WEBSOCKETS_REST_AUTH` установлено значение `public`, что позволяет не прошедшим проверку подлинности пользователям подписываться на изменения в любой коллекции или выполнять операции REST CRUD в определенных пользователем коллекциях, игнорируя разрешения. Версия 11.3.0 устраняет эту проблему.
CVE-2024-36128Directus — это API в реальном времени и панель управления приложениями для управления содержимым базы данных SQL. До версии 10.11.2 предоставление нечислового значения длины утилите генерации случайных строк приведет к проблеме с памятью, нарушающей возможность генерации случайных строк на всей платформе. Это создает ситуацию отказа в обслуживании, когда вошедшие в систему сеансы больше не могут быть обновлены, поскольку сеансы зависят от возможности генерации случайного идентификатора сеанса. Эта уязвимость исправлена в версии 10.11.2.
CVE-2021-26593В Directus версий 8.x - 8.8.1 злоумышленник может видеть всех пользователей в CMS, используя API /users/{id}. Для каждого вызова он получает в ответ много информации о пользователе (например, адрес электронной почты, имя и фамилию), а также секрет для 2FA, если он существует. Этот секрет можно восстановить. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются сопровождающим.
CVE-2026-39943Directus - это API и панель инструментов приложения в реальном времени для управления содержимым баз данных SQL. До 11.17.0 Directus хранит записи о ревизии (в directus_revisions) всякий раз, когда предметы создаются или обновляются. Из-за кода снимков ревизии, не вызывающего последовательного конвейера дезинфекции, чувствительные поля (включая пользовательские токены, секреты двухфакторной аутентификации, внешние идентификаторы аутистов, аут-данные, сохраненные учетные данные и ключи API-провайдера ИИ) могут храниться в открытом тексте в записях ревизии. Эта уязвимость фиксируется в 11.17.0.
CVE-2026-35441Directus - это API в реальном времени и панель управления базами данных SQL. До 11.17.0 конечные точки Directus GraphQL (/graphql и /graphql/system) не отображали вызывающие решения в рамках одного запроса. Аутентифицированный пользователь может использовать псевдоним GraphQL для повторения дорогостоящего реляционного запроса много раз в одном запросе, заставляя сервер выполнять большое количество независимых сложных запросов базы данных одновременно, умножая нагрузку на базу данных линейно с количеством псевдонимов. Существующий лимит токенов на запросах GraphQL по-прежнему допускает достаточно псевдонимов для значительного истощения ресурсов, в то время как предел глубины реля, применяемый по псевдониму, без уменьшения общего числа выполненных. Ограничение тарифов отключено по умолчанию, что означает, что никакая встроенная дроссельная заслонка не помешала этому вызвать CPU, память и истощение ввода, которые могут ухудшить или сломать службу. Любой аутентифицированный пользователь, в том числе с минимальными разрешениями только для чтения, может спровоцировать это состояние. Эта уязвимость исправлена в 11.17.0.
CVE-2025-64748Directus - это API и панель данных приложений в реальном времени для управления контентом баз данных SQL. Уязвимость в версиях до 11.13.0 позволяет аутентифицированным пользователям искать скрытые/чувствительные поля, когда они читают разрешения. В то время как фактические значения остаются замаскированными (`****`), успешные совпадения могут быть обнаружены через возвращенные записи, что позволяет перечислить атаки на конфиденциальные данные. Версия 11.13.0 решает проблему.
CVE-2025-53889Directus - это реальный API и панель приложений для управления содержимым базы данных SQL. В версиях с 9.12.0 до 11.9.0 Directus Flows с ручным запуском не проверяют, имеет ли пользователь, запускающий Flow, разрешения на элементы, предоставленные в качестве полезной нагрузки Flow. В зависимости от того, что Flow настроен для выполнения, это может привести к выполнению потенциальных задач от имени злоумышленника без аутентификации. Пользователи с настроенными ручными потоками подвержены воздействию, поскольку эти конечные точки в настоящее время не проверяют, имеет ли пользователь доступ к directus_flows или к соответствующим коллекциям/элементам. Версия 11.9.0 исправляет эту проблему. В качестве обходного пути можно реализовать проверки разрешений для доступа к Flows и соответствующим коллекциям/элементам [1]. Источники: - [1] https://github.com/directus/directus/security/advisories/GHSA-7cvf-pxgp-42fc - [2] https://github.com/directus/directus/commit/22be460c76957708d67fdd52846a9ad1cbb083fb - [3] https://github.com/directus/directus/releases/tag/v11.9.0 Источники: - [1] https://github.com/directus/directus/security/advisories/GHSA-7cvf-pxgp-42fc - [2] https://github.com/directus/directus/commit/22be460c76957708d67fdd52846a9ad1cbb083fb - [3] https://github.com/directus/directus/releases/tag/v11.9.0
CVE-2024-45596Directus - это API и панель управления приложениями в реальном времени для управления содержимым базы данных SQL. Не прошедший проверку подлинности пользователь может получить доступ к учетным данным последнего прошедшего проверку подлинности пользователя через OpenID или OAuth2, если URL-адрес аутентификации не содержал строку запроса перенаправления. Это происходит потому, что на этой конечной точке для OpenId и Oauth2 Directus использует промежуточное программное обеспечение respond, которое по умолчанию будет пытаться кэшировать GET-запросы, отвечающие некоторым условиям. Однако эти условия не включают этот сценарий, когда запрос, не прошедший проверку подлинности, возвращает учетные данные пользователя. Эта уязвимость исправлена в версиях 10.13.3 и 11.1.0.
CVE-2024-39895Directus - это API в реальном времени и панель инструментов приложений для управления содержимым базы данных SQL. Атака типа "отказ в обслуживании" (DoS) путем дублирования полей в GraphQL - это тип атаки, при котором злоумышленник использует гибкость GraphQL, чтобы перегрузить сервер, запрашивая одно и то же поле несколько раз в одном запросе. Это может привести к тому, что сервер будет выполнять избыточные вычисления и потреблять чрезмерные ресурсы, что приведет к отказу в обслуживании для законных пользователей. Запросы к конечной точке /graphql отправляются при визуализации графиков, сгенерированных на панели инструментов. Изменяя отправляемые данные и многократно дублируя поля, можно провести DoS-атаку. Эта уязвимость устранена в версии 10.12.0.
CVE-2026-35410Directus - это API и панель данных приложений в реальном времени для управления контентом баз данных SQL. До 11.16.1 в логике перенаправления входа существует уязвимость открытого перенаправления. Функция isLoginRedirectAllowed не может правильно идентифицировать определенные неправильно сформированные URL-адреса как внешние, что позволяет злоумышленникам обходить валидацию разрешающего списка и перенаправлять пользователей на произвольные внешние домены при успешной аутентификации. Эта уязвимость зафиксирована в 11.16.1.
CVE-2026-22032Directus - это API в реальном времени и панель данных приложений для управления контентом баз данных SQL. До версии 11.14.0 в конечной точке обратной связи обратного вызова Directus SAML существует уязвимость открытого перенаправления. Во время аутентификации SAML параметр «RelayState» предназначен для сохранения первоначального назначения пользователя. Однако, хотя поток инициации входа проверяет цели перенаправления по разрешенным доменам, эта валидация не применяется к конечной точке обратного вызова. Это позволяет злоумышленнику создать запрос на вредоносную аутентификацию, который перенаправляет пользователей на произвольный внешний URL-адрес по завершении. Уязвимость присутствует как в успешном, так и в способах обработки ошибок обратного звонка. Эта уязвимость может быть использована без аутентификации. Версия 11.14.0 содержит патч.
CVE-2022-24814Directus - это API в реальном времени и панель инструментов приложений для управления содержимым базы данных SQL. До версии 9.7.0 несанкционированный JavaScript (JS) может быть выполнен путем вставки iframe в интерфейс HTML-текста, который ссылается на загруженный HTML-файл, который загружает другой загруженный JS-файл в свой тег скрипта. Это удовлетворяет обычному заголовку политики безопасности содержимого, который, в свою очередь, позволяет файлу запускать любой произвольный JS. Эта проблема была решена в версии 9.7.0. В качестве обходного пути отключите живое встраивание в том, что вы видите, что получаете, добавив `{ "media_live_embeds": false }` в параметр _Options Overrides_ интерфейса Rich Text HTML.
CVE-2025-64747Directus - это API в реальном времени и панель данных приложений для управления содержимым баз данных SQL. Сохраняемая уязвимость кросс-сайтного скриптинга (XSS) существует в версиях до 11.13.0, что позволяет пользователям с «загрузить файлы» и «редактировать» данные и «разрешения» инъекционно-материнировать вредоносный JavaScript через интерфейс редактора блока. Злоумышленники могут обойти ограничения политики безопасности контента (CSP), комбинируя загрузки файлов с атрибутами srdoc iframe, что приводит к постоянное выполнение XSS. Версия 11.13.0 решает проблему.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →