CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-26593
https://notcve.org/view.php?id=CVE-2021-26593
In Directus 8.x through 8.8.1, an attacker can see all users in the CMS using the API /users/{id}. For each call, they get in response a lot of information about the user (such as email address, first name, and last name) but also the secret for 2FA if one exists. This secret can be regenerated. NOTE: This vulnerability only affects products that are no longer supported by the maintainer En Directus versiones 8.xa hasta 8.8.1, un atacante puede visualizar a todos los usuarios en el CMS usando la API /users/{id}. Para cada llamada, obtienen en respuesta una gran cantidad de información sobre el usuario (tal y como la dirección de correo electrónico, el nombre y el apellido), pero también el secreto de 2FA si existe. • https://github.com/sgranel/directusv8 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2021-27583
https://notcve.org/view.php?id=CVE-2021-27583
In Directus 8.x through 8.8.1, an attacker can discover whether a user is present in the database through the password reset feature. NOTE: This vulnerability only affects products that are no longer supported by the maintainer En Directus versiones 8.x hasta 8.8.1, un atacante puede detectar si un usuario está presente en la base de datos mediante la funcionalidad password reset. NOTA: Esta vulnerabilidad solo afecta a los productos que ya no son compatibles con el mantenedor • https://github.com/sgranel/directusv8 • CWE-203: Observable Discrepancy •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-10723
https://notcve.org/view.php?id=CVE-2018-10723
Directus 6.4.9 has a hardcoded admin password for the Admin account because of an INSERT statement in api/schema.sql. Directus 6.4.9 tiene una contraseña de administrador embebida para la cuenta Admin debido a una instrucción INSERT en api/schema.sql. • https://gist.github.com/llandeilocymro/2438a0b5aba8b387c86d7e3181ecbe76 • CWE-798: Use of Hard-coded Credentials •