CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 1CVE-2019-13979
https://notcve.org/view.php?id=CVE-2019-13979
19 Jul 2019 — In Directus 7 API before 2.2.1, uploading of PHP files is not blocked, leading to uploads/_/originals remote code execution. En la API de Directus 7 anterior a versión 2.2.1, la carga de archivos PHP no está bloqueada, conllevando a la ejecución de código remoto del archivo uploads/_/originals. • https://github.com/directus/api/issues/979 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 1CVE-2019-13980
https://notcve.org/view.php?id=CVE-2019-13980
19 Jul 2019 — In Directus 7 API through 2.3.0, uploading of PHP files is blocked only when the Apache HTTP Server is used, leading to uploads/_/originals remote code execution with nginx. En la API de Directus 7 hasta versión 2.3.0, la carga de archivos PHP está bloqueada solo cuando se utiliza el servidor APACHE HTTP, conllevando a la ejecución de código remota del archivo uploads/_/originals con nginx. • https://github.com/directus/api/issues/979 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2019-13981
https://notcve.org/view.php?id=CVE-2019-13981
19 Jul 2019 — In Directus 7 API through 2.3.0, remote attackers can read image files via a direct request for a filename under the uploads/_/originals/ directory. This is related to a configuration option in which the file collection can be non-public, but this option does not apply to the thumbnailer. En la API de Directus 7 hasta versión 2.3.0, los atacantes remotos pueden leer archivos de imagen por medio de una petición directa a un nombre de archivo bajo el directorio uploads/_/originals/. Esto está relacionado con ... • https://github.com/directus/api/issues/986 • CWE-425: Direct Request ('Forced Browsing') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-13982
https://notcve.org/view.php?id=CVE-2019-13982
19 Jul 2019 — interfaces/markdown/input.vue in Directus 7 Application before 7.7.0 does not sanitize Markdown text before rendering a preview. El archivo interfaces/markdown/input.vue en Directus 7 Application anterior a versión 7.7.0, no sanea el texto Markdown antes de la renderización de una vista previa. • https://github.com/directus/app/commit/f010b49eef1526fe0882078bb4a07688e8cc92c1 •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-13983
https://notcve.org/view.php?id=CVE-2019-13983
19 Jul 2019 — Directus 7 API before 2.2.2 has insufficient anti-automation, as demonstrated by lack of a CAPTCHA in core/Directus/Services/AuthService.php and endpoints/Auth.php. En la API de Directus 7 anterior a versión 2.2.2, presenta una anti-automatización insuficiente, como es demostrado por la falta de un CAPTCHA en los archivos core/Directus/Services/AuthService.php y endpoints/Auth.php. • https://github.com/directus/api/issues/991 • CWE-306: Missing Authentication for Critical Function •
CVSS: 8.8EPSS: 2%CPEs: 1EXPL: 1CVE-2019-13984
https://notcve.org/view.php?id=CVE-2019-13984
19 Jul 2019 — Directus 7 API before 2.3.0 does not validate uploaded files. Regardless of the file extension or MIME type, there is a direct link to each uploaded file, accessible by unauthenticated users, as demonstrated by the EICAR Anti-Virus Test File. En la API de Directus 7 anterior a versión 2.3.0, no comprueba los archivos cargados. Independientemente de la extensión de archivo o el tipo MIME, se presenta un enlace directo a cada archivo cargado, accesible por usuarios no autenticados, como es demostrado por el A... • https://github.com/directus/api/issues/981 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-10723
https://notcve.org/view.php?id=CVE-2018-10723
05 May 2018 — Directus 6.4.9 has a hardcoded admin password for the Admin account because of an INSERT statement in api/schema.sql. Directus 6.4.9 tiene una contraseña de administrador embebida para la cuenta Admin debido a una instrucción INSERT en api/schema.sql. • https://gist.github.com/llandeilocymro/2438a0b5aba8b387c86d7e3181ecbe76 • CWE-798: Use of Hard-coded Credentials •