Plataforma
nodejs
Componente
directus
Corregido en
11.2.1
CVE-2025-24353 describe una vulnerabilidad de elevación de privilegios en Directus, una plataforma de gestión de contenido basada en API. Esta falla permite a usuarios con permisos limitados acceder a campos de datos que normalmente no deberían poder ver, al compartir ítems y especificar roles. La vulnerabilidad afecta a versiones de Directus anteriores o iguales a 11.2.0. Una actualización a la versión 11.2.0 resuelve este problema.
La explotación de esta vulnerabilidad permite a un usuario, al compartir un ítem, seleccionar un rol con mayores privilegios del que posee. Esto le brinda acceso a campos de datos que están restringidos para su rol actual. El impacto principal es la exposición de información sensible que el usuario no debería poder ver, lo que podría comprometer la confidencialidad de los datos. Aunque la explotación requiere la función de compartir y una configuración específica de roles, el potencial de acceso no autorizado a datos críticos es significativo. No se ha reportado explotación activa en entornos reales, pero la disponibilidad de la vulnerabilidad representa un riesgo para las organizaciones que utilizan Directus con configuraciones de roles complejas.
CVE-2025-24353 fue publicado el 23 de enero de 2025. Actualmente no se encuentra en el KEV de CISA. No se han reportado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (elevación de privilegios a través de una configuración incorrecta) la hace susceptible a ser explotada. La probabilidad de explotación se considera moderada, dada la necesidad de una configuración específica de roles.
Organizations using Directus for content management, particularly those with complex role-based access control configurations and who utilize the item sharing feature, are at risk. Shared hosting environments where multiple users share a Directus instance are also potentially vulnerable.
• nodejs: Monitor Directus logs for suspicious activity related to item sharing and role assignments. Look for requests containing unexpected or elevated roles.
grep -i 'role assignment|sharing request' /var/log/directus/directus.log• generic web: Check Directus API endpoints for unauthorized access attempts. Use curl to test sharing functionality with different user roles.
curl -X POST -H "Content-Type: application/json" -d '{"role":"admin"}' <directus_api_url>/items/<item_id>/sharedisclosure
Estado del Exploit
EPSS
0.35% (57% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-24353 es actualizar Directus a la versión 11.2.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente la configuración de roles y permisos en Directus. Asegúrese de que los roles asignados al compartir ítems sean los más restrictivos posibles y que no otorguen acceso a datos sensibles. Implementar una política de seguridad que limite el uso de la función de compartir a usuarios autorizados y con una comprensión clara de las implicaciones de seguridad. Monitorear los registros de Directus en busca de actividades sospechosas relacionadas con la gestión de roles y permisos.
Actualice Directus a la versión 11.2.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de escalada de privilegios. La actualización evitará que usuarios no autorizados accedan a campos que no deberían ver a través de la función de compartir.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24353 is a vulnerability in Directus versions ≤ 11.2.0 that allows users to potentially access restricted data fields by manipulating role assignments during item sharing.
You are affected if you are using Directus version 11.2.0 or earlier and utilize the item sharing feature with specific role hierarchies.
Upgrade Directus to version 11.2.0 or later to patch the vulnerability. If immediate upgrading is not possible, restrict the use of the item sharing feature.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept exploits.
Refer to the official Directus security advisory for detailed information and updates: [https://directus.io/security/](https://directus.io/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.