Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Directus (CVE-2024-39895)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
08/07/2024
Última modificación:
03/01/2025

Descripción

Directus es una API y un panel de aplicaciones en tiempo real para administrar el contenido de la base de datos SQL. Un ataque de denegación de servicio (DoS) por duplicación de campos en GraphQL es un tipo de ataque en el que un atacante aprovecha la flexibilidad de GraphQL para abrumar a un servidor solicitando el mismo campo varias veces en una sola consulta. Esto puede hacer que el servidor realice cálculos redundantes y consuma recursos excesivos, lo que lleva a una denegación de servicio para usuarios legítimos. La solicitud al endpoint /graphql se envía al visualizar gráficos generados en un panel. Modificando los datos enviados y duplicando muchas veces los campos es posible un ataque DoS. Esta vulnerabilidad se solucionó en 10.12.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:monospace:directus:*:*:*:*:*:node.js:*:* 10.12.0 (excluyendo)