In Directus, een real-time API en dashboard voor het beheren van SQL-database inhoud, is een beveiligingsprobleem aan het licht gekomen. Bij het gebruik van Directus Flows met de WebHook-trigger worden gevoelige gegevens, zoals toegangstokens, vastgelegd in de systeemlogs. Dit kan leiden tot ongeoorloofde toegang tot gebruikerssessies. Het probleem is opgelost in versie 11.9.0.
Overzicht
CVE-2025-53886 beschrijft een situatie waarin Directus gevoelige gegevens niet voldoende maskeert in zijn flow-logs. Kwaadwillende beheerders met toegang tot deze logs kunnen mogelijk gebruikerssessies overnemen. Dit betreft versies vanaf 9.0.0 tot en met 11.8.9.
Aanbevelingen
- Update Directus naar versie 11.9.0 om deze kwetsbaarheid te verhelpen.
- Beperk toegang tot logbestanden tot alleen die personen die het echt nodig hebben.
Bronnen
- GitHub beveiligingsadvies
- Bespreking van de pull-aanvraag
- Gerelateerde commit
- Versie 11.9.0 release-opmerkingen
Vraag en Antwoord
Wat is CVE-2025-53886?
Dit is een kwetsbaarheid waarbij gevoelige informatie, zoals tokens, niet wordt gemaskeerd in logs.
Welke systemen zijn kwetsbaar voor CVE-2025-53886?
Directus versies vanaf 9.0.0 tot 11.8.9 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar versie 11.9.0 om de kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller met toegang tot de logs kan gebruikerssessies kapen binnen de geldigheidstijdsduur van de tokens.
