CVE-2024-28239 in Directusالمعلومات

الملخص

بحسب VulDB • 01/06/2026

Directus هو لوحة عمل (Dashboard) لتطبيقات وواجهات برمجة التطبيقات (API) في الوقت الفعلي لإدارة محتوى قواعد بيانات SQL. تحتوي واجهة برمجة تطبيقات المصادقة على معلمة `redirect` يمكن استغلالها كثغرة إعادة توجيه مفتوحة (Open Redirect) عندما يحاول المستخدم تسجيل الدخول عبر عنوان URL الخاص بواجهة برمجة التطبيقات. يتم إجراء إعادة توجيه بعد تسجيل الدخول الناجح عبر طلب GET لواجهة برمجة تطبيقات المصادقة إلى `directus/auth/login/google?redirect=http://malicious-fishing-site.com`. وعلى الرغم من أن بيانات الاعتماد لا تبدو وكأنها تُمرر إلى موقع المهاجم، إلا أن المستخدم قد يُخدع (Phishing) للنقر على موقع Directus الشرعي ثم يتم تحويله إلى موقع ضار مصمم ليبدو كرسالة خطأ "يجب تحديث كلمة المرور الخاصة بك" لسرقة كلمة المرور الحالية. قد يكون المستخدمون الذين يسجلون الدخول إلى Directus عبر OAuth2 في خطر. تم معالجة هذه المشكلة في الإصدار 10.10.0. يُنصح المستخدمون بالترقية. لا توجد حلول بديلة معروفة لهذه الثغرة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub, Inc.

حجز

07/03/2024

إفشاء

12/03/2024

الاعتدال

تمت الموافقة

إدخال

VDB-256605

EPSS

0.00583

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!