Directus is a free and open-source data platform for headless content management. The Directus process can be aborted by having an authorized user update the `filename_disk` value to a folder and accessing that file through the `/assets` endpoint. This vulnerability has been patched and release v9.15.0 contains the fix. Users are advised to upgrade. Users unable to upgrade may prevent this problem by making sure no (untrusted) non-admin users have permissions to update the `filename_disk` field on `directus_files`.
Directus es una plataforma de datos gratuita y de código abierto para la administración de contenidos sin cabeza. El proceso de Directus puede ser abortado si un usuario autorizado actualiza el valor de "filename_disk" a una carpeta y accede a ese archivo mediante el endpoint "/assets". Esta vulnerabilidad ha sido parcheada y la versión v9.15.0 contiene la corrección. Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizar pueden evitar este problema al asegurarse de que ningún usuario (no confiable) que no sea administrador tenga permisos para actualizar el campo "filename_disk" en "directus_files".
