ヘッドレスCMS「Directus」に権限昇格の脆弱性 - アップデートが公開

ヘッドレスCMSの「Directus」に権限昇格が可能となる脆弱性が明らかとなった。アップデートが提供されている。

「同9.6.0」および以前のバージョンのファイルアップロード機能に、「クロスサイトスクリプティング（XSS）」の脆弱性「CVE-2022-24814」が明らかとなったもの。

脆弱性を悪用して細工したHTMLファイルをアップロードし、任意の「JavaScript」を実行させることが可能。GitHubによる共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」と評価されている。NVDによる評価は「6.1」。

以前、類似の脆弱性「CVE-2022-22116」「CVE-2022-22117」が明らかとなり、1月に公開された「同9.4.2」にて対策が施されたが、対応が不十分でバイパスが可能だったという。

同月にSynopsysの研究者が脆弱性を発見し、報告。開発チームでは脆弱性に対処した「同9.7.0」を3月にリリースした。その後も更新が実施されており、4月14日の段階で最新版は「同9.8.0」となっている。

（Security NEXT - 2022/04/14 ） ツイート

PR

関連記事

Veeamバックアップ製品に深刻な脆弱性 - 修正版アップデート公開
「Chrome」のセーフブラウジングに脆弱性 - 修正版が公開
サイバー攻撃で個人情報流出の可能性 - アサヒグループHD
「FortiOS」で複数脆弱性を解消 - 8月に緩和策講じたゼロデイ脆弱性も修正
「MS Edge」にセキュリティアップデート - 脆弱性2件を解消
「Chrome」にアップデート、脆弱性3件を修正
「Veeam Backup & Replication」に深刻な脆弱性 - アップデートで修正
「Elastic Cloud Enterprise」に深刻な脆弱性 - アップデートやIoCを公開
アサヒグループHD、ランサム被害の影響で決算発表延期
PC廃棄委託先に不備、ネット接続検知から発覚 - ぼんち