5 results (0.004 seconds)

CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 1

In Directus 7 API before 2.2.1, uploading of PHP files is not blocked, leading to uploads/_/originals remote code execution. En la API de Directus 7 anterior a versión 2.2.1, la carga de archivos PHP no está bloqueada, conllevando a la ejecución de código remoto del archivo uploads/_/originals. • https://github.com/directus/api/issues/979 https://github.com/directus/api/projects/42 • CWE-434: Unrestricted Upload of File with Dangerous Type •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1

In Directus 7 API through 2.3.0, uploading of PHP files is blocked only when the Apache HTTP Server is used, leading to uploads/_/originals remote code execution with nginx. En la API de Directus 7 hasta versión 2.3.0, la carga de archivos PHP está bloqueada solo cuando se utiliza el servidor APACHE HTTP, conllevando a la ejecución de código remota del archivo uploads/_/originals con nginx. • https://github.com/directus/api/issues/979 • CWE-434: Unrestricted Upload of File with Dangerous Type •

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1

In Directus 7 API through 2.3.0, remote attackers can read image files via a direct request for a filename under the uploads/_/originals/ directory. This is related to a configuration option in which the file collection can be non-public, but this option does not apply to the thumbnailer. En la API de Directus 7 hasta versión 2.3.0, los atacantes remotos pueden leer archivos de imagen por medio de una petición directa a un nombre de archivo bajo el directorio uploads/_/originals/. Esto está relacionado con una opción de configuración en la que la colección de archivos puede ser no pública, pero esta opción no se aplica a las imágenes miniaturas (thumbnailer). • https://github.com/directus/api/issues/986 https://github.com/directus/api/issues/987 • CWE-425: Direct Request ('Forced Browsing') •

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0

Directus 7 API before 2.2.2 has insufficient anti-automation, as demonstrated by lack of a CAPTCHA in core/Directus/Services/AuthService.php and endpoints/Auth.php. En la API de Directus 7 anterior a versión 2.2.2, presenta una anti-automatización insuficiente, como es demostrado por la falta de un CAPTCHA en los archivos core/Directus/Services/AuthService.php y endpoints/Auth.php. • https://github.com/directus/api/issues/991 https://github.com/directus/api/projects/43 • CWE-306: Missing Authentication for Critical Function •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1

Directus 7 API before 2.3.0 does not validate uploaded files. Regardless of the file extension or MIME type, there is a direct link to each uploaded file, accessible by unauthenticated users, as demonstrated by the EICAR Anti-Virus Test File. En la API de Directus 7 anterior a versión 2.3.0, no comprueba los archivos cargados. Independientemente de la extensión de archivo o el tipo MIME, se presenta un enlace directo a cada archivo cargado, accesible por usuarios no autenticados, como es demostrado por el Archivo de Prueba del Anti-Virus EICAR. • https://github.com/directus/api/issues/981 https://github.com/directus/api/projects/44 • CWE-434: Unrestricted Upload of File with Dangerous Type •