Informazioni sul CVE-2024-36128

Directus is soft-locked by providing a string value to random string util

CWE ID: CWE-754

Base Score (CVSS): N/A

CVE: CVE-2024-36128

Descrizione: Directus è un’API in tempo reale e dashboard per la gestione del contenuto del database SQL. Prima della versione 10.11.2, fornire un valore di lunghezza non numerico alla utility di generazione di stringhe casuali creerà un problema di memoria che romperà la capacità di generare stringhe casuali a livello globale. Questo crea una situazione di denial of service in cui le sessioni registrate non possono più essere rinfrescate, poiché dipendono dalla capacità di generare un ID di sessione casuale. Questa vulnerabilità è stata corretta nella versione 10.11.2.

Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 7.5 (High)

Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) N Network L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC) L Low L’attacco non richiede condizioni particolari.
Privileges Required (PR) N None Non sono richiesti privilegi.
User Interaction (UI) N None Non è richiesta interazione dell’utente.
Scope (S) U Unchanged Il raggio d’azione non cambia.
Confidentiality Impact (C) N None Nessun impatto sulla riservatezza.
Integrity Impact (I) N None Nessun impatto sull’integrità.
Availability Impact (A) H High Rende il sistema inutilizzabile.

Riferimenti esterni

Prodotti interessati

  • directus – directus

Relazioni con altri prodotti

Produttore:directus
Prodotto: directus
Anno: 2024
CWE: CWE-754
CVSS: 0.0

Ulteriori risorse disponibili