Vulnerabilidad en Directus (CVE-2024-39895)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
08/07/2024
Última modificación:
03/01/2025
Descripción
Directus es una API y un panel de aplicaciones en tiempo real para administrar el contenido de la base de datos SQL. Un ataque de denegación de servicio (DoS) por duplicación de campos en GraphQL es un tipo de ataque en el que un atacante aprovecha la flexibilidad de GraphQL para abrumar a un servidor solicitando el mismo campo varias veces en una sola consulta. Esto puede hacer que el servidor realice cálculos redundantes y consuma recursos excesivos, lo que lleva a una denegación de servicio para usuarios legítimos. La solicitud al endpoint /graphql se envía al visualizar gráficos generados en un panel. Modificando los datos enviados y duplicando muchas veces los campos es posible un ataque DoS. Esta vulnerabilidad se solucionó en 10.12.0.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:monospace:directus:*:*:*:*:*:node.js:*:* | 10.12.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/directus/directus/commit/543b345695071c1de61a35004bd063fe59dba0c8
- https://github.com/directus/directus/security/advisories/GHSA-7hmh-pfrp-vcx4
- https://github.com/directus/directus/commit/543b345695071c1de61a35004bd063fe59dba0c8
- https://github.com/directus/directus/security/advisories/GHSA-7hmh-pfrp-vcx4