Met CVE-2025-53885 is er een kritiek probleem ontdekt waarbij Directus gevoelige gebruikersinformatie logt via event-hooks. Dit kan door kwaadaardige beheerders worden misbruikt om niet-geverifieerde gevoelige gegevens van gebruikers te onderscheppen. Het probleem treft versies vanaf 9.0.0 tot 11.9.0 van Directus.
De kwetsbaarheid laat toe dat gevoelige informatie van gebruikers naar de console wordt gelogd wanneer met Directus Flows CRUD-evenementen worden afgehandeld. Dit kan ertoe leiden dat onbevoegde toegang wordt verkregen tot gevoelige gebruikersdata, wat het complete netwerk kan blootstellen aan aanvallen.
Overzicht
Directus heeft deze kwetsbaarheid geïdentificeerd als CWE-532, de invoeging van gevoelige informatie in logbestanden. Kwaadaardige beheerders kunnen gevoelige gebruikersgegevens loggen tijdens gebruikerscreatie- of bijwerkprocessen.
Aanbevelingen
- Upgrade Directus naar versie 11.9.0 of hoger om het probleem te verhelpen.
- Voor diegenen die niet kunnen upgraden, wordt aanbevolen om ervoor te zorgen dat geen gevoelige gegevens naar de console worden gelogd buiten een ontwikkelingscontext.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53885?
CVE-2025-53885 beschrijft een kwetsbaarheid in Directus waarbij gevoelige gebruikersinformatie onjuist wordt gelogd wanneer Directus Flows CRUD-evenementen voor gebruikers afhandelt.
Welke systemen zijn kwetsbaar voor CVE-2025-53885?
Directus versies vanaf 9.0.0 tot net onder 11.9.0 zijn kwetsbaar voor dit probleem.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar Directus versie 11.9.0 of hoger om dit probleem op te lossen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller, met voldoende rechten, kan gevoelige gegevens van andere gebruikers loggen wanneer zij worden gemaakt of bijgewerkt.
