ΑρχικήsecurityΕυπάθεια cross-site scripting έχει διορθωθεί στην πλατφόρμα Directus
security

Ευπάθεια cross-site scripting έχει διορθωθεί στην πλατφόρμα Directus

Teo Ehc
By Teo Ehc

Μια ευπάθεια cross-site scripting (XSS) έχει διορθωθεί στη δημοφιλή πλατφόρμα Directus. Το Directus είναι ένα σύστημα open source, modular content management που προωθείται ως “ευέλικτη μονάδα παραγωγής ενέργειας για μηχανικούς”. Η πλατφόρμα μπορεί να χρησιμοποιηθεί για την διασύνδεση βάσεων δεδομένων SQL με GraphQL και REST API.

Δείτε επίσης: Η VMware διορθώνει την ευπάθεια Spring4Shell που επηρεάζει διάφορα προϊόντα της

Directus ευπάθεια

Η ευπάθεια στην πλατφόρμα Directus που παρακολουθείται ως CVE-2022-24814 και μπορεί να οδηγήσει σε παραβίαση λογαριασμού, ανακαλύφθηκε από τον ερευνητή του Synopsys Cybersecurity Research Center (CyRC) David Johansson.

Το CVE-2022-24814, επηρεάζοντας το Directus v9.6.0 και παλαιότερες εκδόσεις, βρέθηκε στη λειτουργία μεταφόρτωσης αρχείων του CMS.

SecNewsTV

23.1K subscribers
SecNewsTV
Περισσότερα... Subscribe!

Δείτε επίσης: Βρέθηκε σοβαρή ευπάθεια στο IPsec του Linux – και διορθώθηκε

Σύμφωνα με την Synopsys, οι πιστοποιημένοι χρήστες μπορούν να δημιουργήσουν μια αποθηκευμένη επίθεση XSS που ενεργοποιείται όταν άλλοι χρήστες προσπαθούν να δουν «ορισμένες» συλλογές ή αρχεία στην πλατφόρμα.

Ένα παρόμοιο ζήτημα, που παρακολουθείται με τα CVE-2022-22116 και CVE-2022-22117, είχε αποκαλυφθεί προηγουμένως στην εφαρμογή Directus. Ωστόσο, οι βελτιώσεις mitigation δεν προχώρησαν αρκετά και έτσι θα μπορούσαν να παρακαμφθούν, πρόσθεσαν οι ερευνητές.

Η Synopsys αποκάλυψε τα ευρήματά της στην εταιρεία Directus στις 28 Ιανουαρίου. Η ομάδα της πλατφόρμας διόρθωσε την ευπάθεια και κυκλοφόρησε την έκδοση 3.7.0 στις 18 Μαρτίου για να επιλύσει το ζήτημα ασφάλειας. Επιπλέον, το Directus βελτίωσε μια προεπιλεγμένη τιμή “πολύ επιτρεπτή” για το CORS configuration που θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση όταν δεν είχαν αλλάξει τα configurations.

Η τελευταία έκδοση είναι η έκδοση 3.9.0.

Δείτε επίσης: Κάμερες Wyze: Ευπάθεια θα μπορούσε να επιτρέψει την πρόσβαση στο live feed

  • Χρονοδιάγραμμα
  • 28 Ιανουαρίου 2022: Αρχική αποκάλυψη
  • 7 Μαρτίου 2022: Η ομάδα ασφαλείας της Directus επιβεβαιώνει την ευπάθεια και την πρόθεση να την επιδιορθώσει
  • 18 Μαρτίου 2022: Κυκλοφορεί το Directus v3.7.0 με μια διόρθωση για το CVE-2022-24814
  • 11 Απριλίου 2022: Κυκλοφόρησε advisory από την Synopsys

Πηγή πληροφοριών: zdnet.com

Ακολουθήστε μας στο Google News και ενημερωθείτε πρώτοι για όλες τις ειδήσεις.

Προηγούμενο άρθρο
Το BlackBerry KEY2 Design θα μπορούσε να αναστηθεί από την Unihertz
Επόμενο άρθρο
Η Apple ξεκινά την παραγωγή του iPhone 13 στην Ινδία
Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

RELATED ARTICLES

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS

Φόρτωση περισσοτέρων

ABOUT US

SecNews.gr: No1 Portal για Τεχνολογικές ειδήσεις. Security, Hacking, TV και Tweaks για Geeks. Άμεση ενημέρωση για όλες τις εξελίξεις στον χώρο της ασφάλειας και του IT.

Επικοινωνία: contact@secnews.gr

FOLLOW US

SecNews - Copyright © 2010 - 2024