CVE-2024-28239 in DirectusИнформация

Сводка

по VulDB • 26.05.2026

Directus — это панель управления API и приложениями в реальном времени для управления содержимым баз данных SQL. В API аутентификации присутствует параметр `redirect`, который может быть использован для уязвимости открытого перенаправления (open redirect) при попытке пользователя войти в систему через URL-адрес API. После успешной аутентификации через GET-запрос к Auth API (`directus/auth/login/google?redirect=http://malicious-fishing-site.com`) происходит перенаправление. Хотя учетные данные, похоже, не передаются на сайт злоумышленника, пользователь может быть обманут кликом по легитимному сайту Directus и перенаправлен на вредоносный сайт, имитирующий сообщение об ошибке «Ваш пароль необходимо обновить», с целью кражи текущего пароля. Пользователи, входящие в Directus через OAuth2, могут находиться в зоне риска. Эта проблема была устранена в версии 10.10.0. Пользователям рекомендуется выполнить обновление. Известных обходных путей (workarounds) для данной уязвимости нет.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub, Inc.

Резервировать

07.03.2024

Раскрытие

12.03.2024

Модерация

принято

Вход

VDB-256605

EPSS

0.00583

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!