ヘッドレスCMS「Directus」に権限昇格の脆弱性 - アップデートが公開

ヘッドレスCMSの「Directus」に権限昇格が可能となる脆弱性が明らかとなった。アップデートが提供されている。

「同9.6.0」および以前のバージョンのファイルアップロード機能に、「クロスサイトスクリプティング（XSS）」の脆弱性「CVE-2022-24814」が明らかとなったもの。

脆弱性を悪用して細工したHTMLファイルをアップロードし、任意の「JavaScript」を実行させることが可能。GitHubによる共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」と評価されている。NVDによる評価は「6.1」。

以前、類似の脆弱性「CVE-2022-22116」「CVE-2022-22117」が明らかとなり、1月に公開された「同9.4.2」にて対策が施されたが、対応が不十分でバイパスが可能だったという。

同月にSynopsysの研究者が脆弱性を発見し、報告。開発チームでは脆弱性に対処した「同9.7.0」を3月にリリースした。その後も更新が実施されており、4月14日の段階で最新版は「同9.8.0」となっている。

（Security NEXT - 2022/04/14 ） ツイート

PR

関連記事

中学校教諭が名簿を誤送信、類似メアド宛に - 岡山市
体験プログラムの申込フォームで別人の個人情報が閲覧可能に - 愛知県
MFA基盤管理製品「RSA AM」にセキュリティアップデート
「LogStare Collector」に複数の脆弱性 - 最新版へ更新を
「Apache Syncope」に脆弱性 - 内部DB構成でPW特定のおそれ
国会図書館のシステム開発環境から個人情報が流出した可能性
IT資産管理製品「MaLion」のWindows向けエージェントに深刻な脆弱性
ランサム感染でサーバ障害、調査や復旧実施 - YAC子会社
病院向け月刊誌に患者の個人情報 - 石川県の公立病院
図書館読み聞かせボランティア向けのメールで誤送信 - 柏崎市