Informazioni sul CVE-2025-30225
Directus's S3 assets become unavailable after a burst of malformed transformations
CWE ID: CWE-770
Base Score (CVSS): N/A
CVE: CVE-2025-30225
Descrizione: Directus è un’API in tempo reale e dashboard per la gestione del contenuto del database SQL. Il pacchetto `@directus/storage-driver-s3` che inizia in versione 9.22.0 e prima di versione 12.0.1, corrispondente a Directus che inizia in versione 9.22.0 e prima di 11.5.0, è vulnerabile all’impossibilità di accesso agli asset dopo un’ondata di trasformazioni malformate. Quando effettuare molte richieste di trasformazione malformate contemporaneamente, in un certo punto, tutti gli asset vengono serviti come 403. Questo causa la negazione degli asset per tutte le politiche di Directus, incluso Admin e Public. La versione 12.0.1 del pacchetto `@directus/storage-driver-s3` corrispondente a 11.5.0 di Directus, risolve il problema.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
Prodotti interessati
- directus – directus
Relazioni con altri prodotti
Produttore:directus
Prodotto: directus
Anno: 2025
CWE: CWE-770
CVSS: 0.0