Directus: Path Traversal and Broken Access Control in File Management API

## Samenvatting Er zijn kritieke kwetsbaarheden geïdentificeerd in de Directus file management API die ongeautoriseerde manipulatie van bestandspad en metadata mogelijk maken. Deze problemen stellen aanvallers in staat bestanden toebehorende aan andere gebruikers te overschrijven, bestanden buiten de beoogde opslaggrenzen te schrijven via path traversal, en mogelijk remote code execution te bereiken onder bepaalde omstandigheden. ## Details De file management API accepteert gebruikersgestuurde parameters die alleen aan server-side logica moeten worden beperkt. Specifiek kan de `filename_disk` parameter worden gemanipuleerd in zowel `POST /files` als `PATCH /files/{id}` verzoeken, waardoor twee aanvalvectoren ontstaan: 1. **Path Traversal**: Door paden te specificeren die `../` sequenties bevatten in de `filename_disk` parameter tijdens het uploaden van bestanden, kunnen aanvallers bestanden buiten de beoogde opslagprefix schrijven. 2. **Broken Access Control**: Door de `filename_disk` parameter te wijzigen om naar het bestand van een andere gebruiker te verwijzen, kunnen aanvallers legitieme bestanden overschrijven met kwaadaardige inhoud terwijl metadata velden (zoals `uploaded_by`) worden gemanipuleerd om de manipulatie te verbergen. ## Impact - **Unauthorized File Overwrite**: Aanvallers kunnen legitieme bestanden vervangen door kwaadaardige inhoud