CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-13984
https://notcve.org/view.php?id=CVE-2019-13984
Directus 7 API before 2.3.0 does not validate uploaded files. Regardless of the file extension or MIME type, there is a direct link to each uploaded file, accessible by unauthenticated users, as demonstrated by the EICAR Anti-Virus Test File. En la API de Directus 7 anterior a versión 2.3.0, no comprueba los archivos cargados. Independientemente de la extensión de archivo o el tipo MIME, se presenta un enlace directo a cada archivo cargado, accesible por usuarios no autenticados, como es demostrado por el Archivo de Prueba del Anti-Virus EICAR. • https://github.com/directus/api/issues/981 https://github.com/directus/api/projects/44 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-10723
https://notcve.org/view.php?id=CVE-2018-10723
Directus 6.4.9 has a hardcoded admin password for the Admin account because of an INSERT statement in api/schema.sql. Directus 6.4.9 tiene una contraseña de administrador embebida para la cuenta Admin debido a una instrucción INSERT en api/schema.sql. • https://gist.github.com/llandeilocymro/2438a0b5aba8b387c86d7e3181ecbe76 • CWE-798: Use of Hard-coded Credentials •