ヘッドレスCMS「Directus」に権限昇格の脆弱性 - アップデートが公開

ヘッドレスCMSの「Directus」に権限昇格が可能となる脆弱性が明らかとなった。アップデートが提供されている。

「同9.6.0」および以前のバージョンのファイルアップロード機能に、「クロスサイトスクリプティング（XSS）」の脆弱性「CVE-2022-24814」が明らかとなったもの。

脆弱性を悪用して細工したHTMLファイルをアップロードし、任意の「JavaScript」を実行させることが可能。GitHubによる共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」と評価されている。NVDによる評価は「6.1」。

以前、類似の脆弱性「CVE-2022-22116」「CVE-2022-22117」が明らかとなり、1月に公開された「同9.4.2」にて対策が施されたが、対応が不十分でバイパスが可能だったという。

同月にSynopsysの研究者が脆弱性を発見し、報告。開発チームでは脆弱性に対処した「同9.7.0」を3月にリリースした。その後も更新が実施されており、4月14日の段階で最新版は「同9.8.0」となっている。

（Security NEXT - 2022/04/14 ） ツイート

PR

関連記事

Zyxel「GS1900」シリーズに脆弱性 - LAN経由でOSコマンド実行のおそれ
「Autodesk Fusion」に脆弱性 - 悪意あるページ閲覧でRCEのおそれ
ID管理基盤「OpenAM」にアップデート - 多数の脆弱性を修正
医療機関向けの補助金案内メールで誤送信 - 大阪市
「映像のまち・かわさき」関連サイトで障害 - 攻撃受けた可能性
行政文書の個人情報、墨塗りせず交付 - 神奈川県
患者情報含むUSBメモリを一時紛失 - 関西医科大病院
予約管理システムが侵害、個人情報が流出 - アソビュー
県立高でサポート詐欺被害、端末内部に個人情報 - 島根県
「WooCommerce」旧版にRCE脆弱性 - 実証コードも