Plataforma
nodejs
Componente
directus
Corrigido em
11.2.1
O CVE-2025-24353 representa uma vulnerabilidade de elevação de privilégios no Directus, uma plataforma de API e painel de aplicativos para gerenciamento de conteúdo de banco de dados SQL. Essa falha permite que usuários comuns especifiquem papéis arbitrários ao compartilhar itens, contornando as restrições de acesso e potencialmente expondo dados confidenciais. A vulnerabilidade afeta versões do Directus anteriores à 11.2.0, e uma correção foi implementada nessa versão.
Um atacante pode explorar essa vulnerabilidade para obter acesso não autorizado a campos e dados que normalmente estariam protegidos por controles de acesso baseados em função. Ao especificar um papel de nível superior ao compartilhar um item, um usuário mal-intencionado pode visualizar informações que não deveriam estar acessíveis, como dados sensíveis ou configurações administrativas. O impacto potencial varia dependendo da configuração do Directus e da sensibilidade dos dados armazenados, mas pode levar à divulgação de informações confidenciais e comprometimento da integridade do sistema. A exploração bem-sucedida pode permitir que um atacante obtenha uma visão mais ampla do sistema e realize ações que normalmente estariam restritas a usuários com privilégios mais elevados.
O CVE-2025-24353 foi publicado em 23 de janeiro de 2025. Não há relatos públicos de exploração ativa no momento da publicação. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade e a disponibilidade do código-fonte do Directus. A vulnerabilidade não está listada no KEV (Know Exploited Vulnerabilities) da CISA até o momento.
Organizations using Directus for content management, particularly those with complex role-based access control configurations and who utilize the item sharing feature, are at risk. Shared hosting environments where multiple users share a Directus instance are also potentially vulnerable.
• nodejs: Monitor Directus logs for suspicious activity related to item sharing and role assignments. Look for requests containing unexpected or elevated roles.
grep -i 'role assignment|sharing request' /var/log/directus/directus.log• generic web: Check Directus API endpoints for unauthorized access attempts. Use curl to test sharing functionality with different user roles.
curl -X POST -H "Content-Type: application/json" -d '{"role":"admin"}' <directus_api_url>/items/<item_id>/sharedisclosure
Status do Exploit
EPSS
0.35% (percentil 57%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2025-24353 é atualizar o Directus para a versão 11.2.0 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere restringir o uso do recurso de compartilhamento de itens ou implementar controles de acesso mais rigorosos para garantir que os usuários só possam acessar os dados para os quais estão autorizados. Monitore logs de auditoria em busca de atividades suspeitas relacionadas ao compartilhamento de itens e papéis de usuário. Implementar uma WAF (Web Application Firewall) pode ajudar a bloquear tentativas de exploração, mas não substitui a aplicação da correção.
Actualice Directus a la versión 11.2.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de escalada de privilegios. La actualización evitará que usuarios no autorizados accedan a campos que no deberían ver a través de la función de compartir.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-24353 is a vulnerability in Directus versions ≤ 11.2.0 that allows users to potentially access restricted data fields by manipulating role assignments during item sharing.
You are affected if you are using Directus version 11.2.0 or earlier and utilize the item sharing feature with specific role hierarchies.
Upgrade Directus to version 11.2.0 or later to patch the vulnerability. If immediate upgrading is not possible, restrict the use of the item sharing feature.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept exploits.
Refer to the official Directus security advisory for detailed information and updates: [https://directus.io/security/](https://directus.io/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.