Een nieuwe kwetsbaarheid, CVE-2025-55746, is ontdekt in Directus-versies vanaf 10.8.0 tot net voor 11.9.3. Deze kwetsbaarheid maakt het mogelijk voor een onbevoegde actor om bestaande bestanden te wijzigen en nieuwe bestanden te uploaden zonder authenticatie. Dit gebeurt zonder dat de bestandseigenschappen in de database worden bijgewerkt, waardoor bestanden mogelijk onzichtbaar blijven in de Directus UI.
Met een kritiek CVSS-score van 9.3, is het risico aanzienlijk. Aanvallers kunnen bestanden met gevaarlijke inhoud uploaden zonder interactie van gebruikers, gezien de lage complexiteit en netwerktoegankelijkheid.
Overzicht
Directus eist beheerders op de hoogte te zijn van beveiligingskwesties binnen hun systemen. Onveilige inputvalidatie laat onbevoegden toe bestanden aan te passen of te uploaden. Dit vormt een serieus risico voor de integriteit van uw data.
Aanbevelingen
- Voer onmiddellijk een update uit naar Directus versie 11.9.3 of recenter.
- Controleer uw logs op verdachte bestanden en wijzigingen rond bestanden in de kwetsbare versies.
- Implementeer netwerkbeveiligingscontroles om ongewenste bestandstoegang te beperken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-55746?
CVE-2025-55746 is een beveiligingsprobleem waar Directus inadequaat omgaat met inputvalidatie, waardoor onbevoegde bestandtoegang mogelijk is.
Welke systemen zijn kwetsbaar voor CVE-2025-55746?
Systemen die Directus draaien van versie 10.8.0 tot onder 11.9.3 zijn gemeld als kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is verholpen in Directus versie 11.9.3.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan bestanden wijzigen of uploaden met potentieel schadelijke inhoud, zonder dat deze wijzigingen in de Interface zichtbaar worden.
