Plateforme
nodejs
Composant
directus
Corrigé dans
11.2.1
La vulnérabilité CVE-2025-24353 concerne une élévation de privilèges dans Directus, une API et un tableau de bord d'application en temps réel pour la gestion du contenu de base de données SQL. Cette faille permet à un utilisateur standard de spécifier un rôle arbitraire lors du partage d'un élément, contournant ainsi les restrictions d'accès aux champs. Les versions de Directus affectées sont celles inférieures ou égales à la version 11.2.0. Une correction a été déployée dans la version 11.2.0.
L'exploitation réussie de cette vulnérabilité permet à un utilisateur non privilégié d'accéder à des données sensibles auxquelles il ne devrait normalement pas avoir accès. En spécifiant un rôle avec des privilèges plus élevés lors du partage d'un élément, l'utilisateur peut contourner les contrôles d'accès et visualiser des champs qui sont normalement masqués pour son rôle. Cette faille peut conduire à une divulgation d'informations confidentielles et potentiellement compromettre l'intégrité des données. Le risque est accru dans les environnements où la hiérarchie des rôles est complexe et où certains champs sont intentionnellement masqués pour des rôles spécifiques.
La vulnérabilité a été rendue publique le 23 janvier 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée, compte tenu de la nécessité d'une configuration spécifique des rôles et des champs. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Organizations using Directus for content management, particularly those with complex role-based access control configurations and who utilize the item sharing feature, are at risk. Shared hosting environments where multiple users share a Directus instance are also potentially vulnerable.
• nodejs: Monitor Directus logs for suspicious activity related to item sharing and role assignments. Look for requests containing unexpected or elevated roles.
grep -i 'role assignment|sharing request' /var/log/directus/directus.log• generic web: Check Directus API endpoints for unauthorized access attempts. Use curl to test sharing functionality with different user roles.
curl -X POST -H "Content-Type: application/json" -d '{"role":"admin"}' <directus_api_url>/items/<item_id>/sharedisclosure
Statut de l'Exploit
EPSS
0.35% (percentile 57%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Directus vers la version 11.2.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de limiter l'utilisation de la fonctionnalité de partage d'éléments et de revoir attentivement la configuration des rôles et des permissions. Il est également conseillé de surveiller les journaux d'accès pour détecter toute activité suspecte liée au partage d'éléments. Bien qu'il n'existe pas de règles WAF spécifiques, une surveillance accrue des requêtes de partage pourrait aider à identifier les tentatives d'exploitation.
Actualice Directus a la versión 11.2.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de escalada de privilegios. La actualización evitará que usuarios no autorizados accedan a campos que no deberían ver a través de la función de compartir.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-24353 is a vulnerability in Directus versions ≤ 11.2.0 that allows users to potentially access restricted data fields by manipulating role assignments during item sharing.
You are affected if you are using Directus version 11.2.0 or earlier and utilize the item sharing feature with specific role hierarchies.
Upgrade Directus to version 11.2.0 or later to patch the vulnerability. If immediate upgrading is not possible, restrict the use of the item sharing feature.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept exploits.
Refer to the official Directus security advisory for detailed information and updates: [https://directus.io/security/](https://directus.io/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.