CVE-2024-28239 in Directus
Сводка
по VulDB • 26.05.2026
Directus — это панель управления API и приложениями в реальном времени для управления содержимым баз данных SQL. В API аутентификации присутствует параметр `redirect`, который может быть использован для уязвимости открытого перенаправления (open redirect) при попытке пользователя войти в систему через URL-адрес API. После успешной аутентификации через GET-запрос к Auth API (`directus/auth/login/google?redirect=http://malicious-fishing-site.com`) происходит перенаправление. Хотя учетные данные, похоже, не передаются на сайт злоумышленника, пользователь может быть обманут кликом по легитимному сайту Directus и перенаправлен на вредоносный сайт, имитирующий сообщение об ошибке «Ваш пароль необходимо обновить», с целью кражи текущего пароля. Пользователи, входящие в Directus через OAuth2, могут находиться в зоне риска. Эта проблема была устранена в версии 10.10.0. Пользователям рекомендуется выполнить обновление. Известных обходных путей (workarounds) для данной уязвимости нет.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.