CVE-2025-55746

CRÍTIC (9,3)

CVSS3: 0,0

Directus és una API en temps real i un tauler de control d’aplicacions per gestionar el contingut de bases de dades SQL. Des de la versió 10.8.0 fins a la versió anterior a la 11.9.3, hi ha una vulnerabilitat en el mecanisme d’actualització de fitxers que permet que un actor no autenticat modifiqui fitxers existents amb contingut arbitrari (sense que s’apliquin canvis a les metadades residents a la base de dades dels fitxers) i/o carregar fitxers nous, amb contingut i extensions arbitràries, que no apareixeran a la interfície d’usuari de Directus.

Sistemes Afectats

• directus directus >= 10.8.0, < 11.9.3

Remediació
Aquesta vulnerabilitat s’ha corregit a la versió 11.9.3. Vegeu-ne les referències.

Referències

• https://github.com/directus/directus/security/advisories/GHSA-mv33-9f6j-pfmc
• https://github.com/directus/directus/commit/d84dcc36f75fc5c858d43746b8f9c426c38d696b
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/55xxx/CVE-2025-55746.json