Kwetsbaarheid CVE-2025-53889 in Directus maakt het mogelijk dat flows met een handmatige trigger worden uitgevoerd zonder de benodigde toegangsrechten. Dit kan leiden tot onrechtmatige uitvoering van opdrachten zonder authenticatie.
Overzicht
Directus Flows vanaf versie 9.12.0 tot voor versie 11.9.0 controleren niet of de gebruiker de juiste machtigingen heeft om de items, die in de payload van de Flow worden aangeboden, te activeren. Zonder de juiste authenticatie kunnen kwaadwillende actoren handmatige triggerflows uitvoeren of toegang krijgen tot items en collecties waarvoor zij geen rechten hebben.
Aanbevelingen
- Update Directus naar versie 11.9.0 om deze kwetsbaarheid te verhelpen.
- Implementeer controles op leesrechten voor Flows en relevante collecties/items als tijdelijke oplossing.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53889?
Het betreft een beveiligingslek in Directus waarbij flows met een handmatige trigger kunnen worden geactiveerd zonder juiste machtigingen.
Welke systemen zijn kwetsbaar voor CVE-2025-53889?
Versies van Directus vanaf 9.12.0 tot voor 11.9.0.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar versie 11.9.0 om de kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan flows uitvoeren zonder authenticatie of rechten, waardoor mogelijk ongeautoriseerde opdrachten worden uitgevoerd.
