UNKNOWNGHSA-393c-p46r-7c95
GHSA-393c-p46r-7c95: Directus ファイル管理API Path Traversal脆弱性 (≤11.16.x)
プラットフォーム
nodejs
コンポーネント
directus
修正バージョン
11.17.0
Directusのファイル管理APIには、ファイルストレージパスとメタデータを不正に操作できる脆弱性が存在します。攻撃者は他のユーザーのファイルにファイルを上書きしたり、意図しないストレージ境界外にファイルを書き込んだり、特定の条件下ではリモートコード実行を達成できる可能性があります。ファイル管理APIは、ユーザー制御のパラメータを受け入れますが、これらはサーバー側のロジックのみで制限されるべきです。Directusのバージョン11.17.0で修正されました。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
GHSA-393c-p46r-7c95とは何ですか?
Directusのファイル管理APIにおけるPath Traversal脆弱性です。
私は影響を受けていますか?
Directusのバージョンが11.17.0より前のバージョンを使用している場合、この脆弱性の影響を受ける可能性があります。
どうすれば修正できますか?
Directusをバージョン11.17.0以降にアップデートしてください。