Μια ευπάθεια cross-site scripting (XSS) έχει διορθωθεί στη δημοφιλή πλατφόρμα Directus. Το Directus είναι ένα σύστημα open source, modular content management που προωθείται ως “ευέλικτη μονάδα παραγωγής ενέργειας για μηχανικούς”. Η πλατφόρμα μπορεί να χρησιμοποιηθεί για την διασύνδεση βάσεων δεδομένων SQL με GraphQL και REST API.
Δείτε επίσης: Η VMware διορθώνει την ευπάθεια Spring4Shell που επηρεάζει διάφορα προϊόντα της
Η ευπάθεια στην πλατφόρμα Directus που παρακολουθείται ως CVE-2022-24814 και μπορεί να οδηγήσει σε παραβίαση λογαριασμού, ανακαλύφθηκε από τον ερευνητή του Synopsys Cybersecurity Research Center (CyRC) David Johansson.
Το CVE-2022-24814, επηρεάζοντας το Directus v9.6.0 και παλαιότερες εκδόσεις, βρέθηκε στη λειτουργία μεταφόρτωσης αρχείων του CMS.
Το Europa Clipper της NASA οδεύει στον Δία
Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη
Apple: Παρακολουθεί παράνομα τους εργαζομένους;
Δείτε επίσης: Βρέθηκε σοβαρή ευπάθεια στο IPsec του Linux – και διορθώθηκε
Σύμφωνα με την Synopsys, οι πιστοποιημένοι χρήστες μπορούν να δημιουργήσουν μια αποθηκευμένη επίθεση XSS που ενεργοποιείται όταν άλλοι χρήστες προσπαθούν να δουν «ορισμένες» συλλογές ή αρχεία στην πλατφόρμα.
Ένα παρόμοιο ζήτημα, που παρακολουθείται με τα CVE-2022-22116 και CVE-2022-22117, είχε αποκαλυφθεί προηγουμένως στην εφαρμογή Directus. Ωστόσο, οι βελτιώσεις mitigation δεν προχώρησαν αρκετά και έτσι θα μπορούσαν να παρακαμφθούν, πρόσθεσαν οι ερευνητές.
Η Synopsys αποκάλυψε τα ευρήματά της στην εταιρεία Directus στις 28 Ιανουαρίου. Η ομάδα της πλατφόρμας διόρθωσε την ευπάθεια και κυκλοφόρησε την έκδοση 3.7.0 στις 18 Μαρτίου για να επιλύσει το ζήτημα ασφάλειας. Επιπλέον, το Directus βελτίωσε μια προεπιλεγμένη τιμή “πολύ επιτρεπτή” για το CORS configuration που θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση όταν δεν είχαν αλλάξει τα configurations.
Η τελευταία έκδοση είναι η έκδοση 3.9.0.
Δείτε επίσης: Κάμερες Wyze: Ευπάθεια θα μπορούσε να επιτρέψει την πρόσβαση στο live feed
- Χρονοδιάγραμμα
- 28 Ιανουαρίου 2022: Αρχική αποκάλυψη
- 7 Μαρτίου 2022: Η ομάδα ασφαλείας της Directus επιβεβαιώνει την ευπάθεια και την πρόθεση να την επιδιορθώσει
- 18 Μαρτίου 2022: Κυκλοφορεί το Directus v3.7.0 με μια διόρθωση για το CVE-2022-24814
- 11 Απριλίου 2022: Κυκλοφόρησε advisory από την Synopsys
Πηγή πληροφοριών: zdnet.com