Directus — это API и панель приложений, работающая в режиме реального времени, для управления содержимым базы данных SQL. До версии 11.17.0 агрегатные функции (min, max), применяемые к полям со специальным типом скрытия, неправильно возвращали необработанные значения базы данных вместо замаскированного заполнителя. В сочетании с groupBy любой прошедший проверку подлинности пользователь с доступом на чтение к затронутой коллекции может извлекать значения скрытых полей, включая статические токены API и секреты двухфакторной аутентификации из Directus_users.
Эта уязвимость исправлена в версии 11.17.0.
Показать оригинальное описание (EN)
Directus is a real-time API and App dashboard for managing SQL database content. Prior to 11.17.0, aggregate functions (min, max) applied to fields with the conceal special type incorrectly return raw database values instead of the masked placeholder. When combined with groupBy, any authenticated user with read access to the affected collection can extract concealed field values, including static API tokens and two-factor authentication secrets from directus_users. This vulnerability is fixed in 11.17.0.
Характеристики атаки
Последствия
Строка CVSS v3.1