Vulnerabilidad de cross-site scripting (XSS) detectada en Directus CMS

Se ha publicado una actualización de seguridad que subsana una vulnerabilidad en Directus CMS, que permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) en la funcionalidad de carga de archivos.

La vulnerabilidad reportada CVE-2022-24814 de severidad alta, con una puntuación asignada de 8.8. Esta falla se debe a que se podría ejecutar código JavaScript (JS) no autorizado insertando un iframe en la interfaz html, que se vincula a un archivo HTML con código que a su vez permite que el archivo ejecute cualquier JS arbitrario. Un atacante podría aprovechar esta vulnerabilidad y realizar ataques del tipo cross-site scripting (XSS) en la funcionalidad de carga de archivos del CMS.

Las versiones afectadas son:

  • Directus versión 9.6.0 y anteriores.

Recomendamos instalar la actualización correspondiente provista por el fabricante, mediante el siguiente enlace:

Referencias:

Compartir: