CVE-2024-28239 in Directus
الملخص
بحسب VulDB • 01/06/2026
Directus هو لوحة عمل (Dashboard) لتطبيقات وواجهات برمجة التطبيقات (API) في الوقت الفعلي لإدارة محتوى قواعد بيانات SQL. تحتوي واجهة برمجة تطبيقات المصادقة على معلمة `redirect` يمكن استغلالها كثغرة إعادة توجيه مفتوحة (Open Redirect) عندما يحاول المستخدم تسجيل الدخول عبر عنوان URL الخاص بواجهة برمجة التطبيقات. يتم إجراء إعادة توجيه بعد تسجيل الدخول الناجح عبر طلب GET لواجهة برمجة تطبيقات المصادقة إلى `directus/auth/login/google?redirect=http://malicious-fishing-site.com`. وعلى الرغم من أن بيانات الاعتماد لا تبدو وكأنها تُمرر إلى موقع المهاجم، إلا أن المستخدم قد يُخدع (Phishing) للنقر على موقع Directus الشرعي ثم يتم تحويله إلى موقع ضار مصمم ليبدو كرسالة خطأ "يجب تحديث كلمة المرور الخاصة بك" لسرقة كلمة المرور الحالية. قد يكون المستخدمون الذين يسجلون الدخول إلى Directus عبر OAuth2 في خطر. تم معالجة هذه المشكلة في الإصدار 10.10.0. يُنصح المستخدمون بالترقية. لا توجد حلول بديلة معروفة لهذه الثغرة.
If you want to get best quality of vulnerability data, you may have to visit VulDB.