UNKNOWNGHSA-6q22-g298-grjh
Directus DoS漏洞,版本<11.17.0,CVSS 7.5
平台
nodejs
组件
directus
已修复版本
11.17.0
GHSA-6q22-g298-grjh 是 Directus 中的一个拒绝服务 (DoS) 漏洞。该漏洞源于 Directus 未能对 GraphQL 查询中的重复字段进行去重处理,导致每个别名触发底层解析器的完整独立执行,从而放大资源消耗。攻击者可以利用此漏洞通过发送包含大量重复字段的 GraphQL 查询来耗尽服务器资源,导致拒绝服务。受影响的版本包括 11.17.0 之前的版本。此问题已在 11.17.0 版本中修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
GHSA-6q22-g298-grjh 是什么?
GHSA-6q22-g298-grjh 是 Directus 中的一个拒绝服务 (DoS) 漏洞,攻击者可以通过发送包含大量重复字段的 GraphQL 查询来耗尽服务器资源。
我是否受到 GHSA-6q22-g298-grjh 的影响?
如果您的 Directus 版本低于 11.17.0,并且允许用户访问 GraphQL 端点,那么您可能受到此漏洞的影响。
如何修复 GHSA-6q22-g298-grjh?
将 Directus 升级到 11.17.0 或更高版本可以修复此漏洞。升级后,Directus 将对 GraphQL 查询中的重复字段进行去重处理,防止资源耗尽。