Er is een beveiligingslek bekend in Directus, vanaf versie 9.0.0 tot en met 11.8.9, waarbij het exacte versienummer ten onrechte wordt blootgesteld via de OpenAPI Spec. Dit betekent dat kwaadwillenden zonder authenticatie toegang kunnen krijgen tot deze informatie via de endpoint /server/specs/oas. Dit verhoogt het risico op aanvallen aangezien met deze versieinformatie bekende kwetsbaarheden kunnen worden gezocht en misbruikt.
Overzicht
Directus is een API en App-dashboard voor het beheren van SQL-databasecontent. Vanaf versie 9.0.0 tot en met 11.8.9 wordt het exacte versienummer van Directus blootgesteld via de OpenAPI Spec. Deze informatie kan door kwaadwillenden worden gebruikt om bekende kwetsbaarheden in de Directus-kern of zijn afhankelijkheden te exploiteren.
Aanbevelingen
- Update Directus naar versie 11.9.0 om het probleem op te lossen.
Bronnen
- Beveiligingsadvies op GitHub
- Gerelateerde pull request
- Relevante commit
- Directus versie 11.9.0 release-informatie
Vraag en Antwoord
Wat is CVE-2025-53887?
Dit CVE identificeert een probleem in Directus waarbij het exacte versienummer wordt blootgegeven via de OpenAPI Spec, wat kan leiden tot misbruik door aanvallers die op zoek zijn naar bekende kwetsbaarheden.
Welke systemen zijn kwetsbaar voor CVE-2025-53887?
Systemen met Directus versies 9.0.0 tot en met 11.8.9 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de release van Directus versie 11.9.0 lost het probleem op.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan met de verkregen versie-informatie zoeken naar en mogelijk misbruik maken van bekende kwetsbaarheden in de Directus-kern of zijn afhankelijkheden.
