概述
CVE-2025-64749 - Directus存在现有集合信息泄露漏洞
漏洞描述
Directus是一个用于管理SQL数据库内容的实时API和应用仪表板。在Directus 11.13.0之前的版本中,发现其REST API的错误消息存在可观察差异。/items/{collection} API在两种情况下返回不同的错误消息:当用户尝试访问其无权访问的现有集合时,以及当用户尝试访问不存在的集合时。这两种不同的错误消息向未授权访问这些集合的用户泄露了集合的存在信息。版本11.13.0修复了此问题。
漏洞时间线
- 发布日期:2025年11月13日 22:15
- 最后修改:2025年11月13日 22:15
- 远程利用:是
- 来源:security-advisories@github.com
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Monospace | directus |
受影响供应商总数:1 | 产品数:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 4.3 | CVSS 3.1 | 中 | 2.8 | 1.4 | security-advisories@github.com | |
| 4.3 | CVSS 3.1 | 中 | 2.8 | 1.4 | MITRE-CVE |
解决方案
将Directus更新到版本11.13.0或更高版本,以解决未授权集合访问信息泄露问题。
参考链接
- https://github.com/directus/directus/commit/f99c9b89071f9d136cc9b0d0c182f2d24542bc31
- https://github.com/directus/directus/security/advisories/GHSA-cph6-524f-3hgr
CWE - 常见弱点枚举
- CWE-203:可观察差异
- CWE-209:生成包含敏感信息的错误消息
常见攻击模式枚举和分类(CAPEC)
- CAPEC-189:黑盒逆向工程
- CAPEC-7:盲SQL注入
- CAPEC-54:信息查询系统
- CAPEC-215:应用程序映射模糊测试
- CAPEC-463:填充Oracle加密攻击
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Directus是…(完整描述) | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | |
| 添加 | CWE | CWE-203 | |
| 添加 | CWE | CWE-209 | |
| 添加 | 参考 | https://github.com/directus/directus/commit/f99c9b89071f9d136cc9b0d0c182f2d24542bc31 | |
| 添加 | 参考 | https://github.com/directus/directus/security/advisories/GHSA-cph6-524f-3hgr |
漏洞评分详情
CVSS 3.1基础分数:4.3
攻击向量:网络 攻击复杂度:低 所需权限:低 用户交互:无 范围:未改变 机密性影响:低 完整性影响:无 可用性影响:无