Directus — это API и панель приложений, работающая в режиме реального времени, для управления содержимым базы данных SQL. До версии 11.16.0 в Directus был обнаружен и исправлен обход защиты от подделки запросов на стороне сервера (SSRF). Механизм проверки IP-адреса, используемый для блокировки запросов к локальным и частным сетям, можно обойти с помощью нотации адреса IPv6, сопоставленного с IPv4.
Эта уязвимость исправлена в версии 11.16.0.
Показать оригинальное описание (EN)
Directus is a real-time API and App dashboard for managing SQL database content. Prior to 11.16.0, a Server-Side Request Forgery (SSRF) protection bypass has been identified and fixed in Directus. The IP address validation mechanism used to block requests to local and private networks could be circumvented using IPv4-Mapped IPv6 address notation. This vulnerability is fixed in 11.16.0.
Характеристики атаки
Последствия
Строка CVSS v3.1