CVE-2025-55746: Kritische Sicherheitslücke in Directus - Dateien manipulierbar
⚠️ CVE-Referenzen:
CVE-2025-55746
Zusammenfassung
In der Datei-Update-Funktion von Directus (Version 10.8.0 bis vor 11.9.3) gibt es eine kritische Sicherheitslücke, die es Angreifern ohne Authentifizierung ermöglicht, bestehende Dateien mit beliebigem Inhalt zu modifizieren oder neue Dateien mit beliebigem Inhalt und Dateierweiterungen hochzuladen, die dann nicht im Directus-Interface angezeigt werden. Die Lücke wurde in Version 11.9.3 behoben.
Directus is a real-time API and App dashboard for managing SQL database content. From 10.8.0 to before 11.9.3, a vulnerability exists in the file update mechanism which allows an unauthenticated actor to modify existing files with arbitrary contents (without changes being applied to the files' database-resident metadata) and / or upload new files, with arbitrary content and extensions, which won't show up in the Directus UI. This vulnerability is fixed in 11.9.3.
Quelle: app.opencve.io