CVE-2025-27089

{"id": "CVE-2025-27089", "cveTags": [], "metrics": {"cvssMetricV31": [{"type": "Secondary", "source": "security-advisories@github.com", "cvssData": {"scope": "UNCHANGED", "version": "3.1", "baseScore": 5.4, "attackVector": "NETWORK", "baseSeverity": "MEDIUM", "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N", "integrityImpact": "LOW", "userInteraction": "NONE", "attackComplexity": "LOW", "availabilityImpact": "NONE", "privilegesRequired": "LOW", "confidentialityImpact": "LOW"}, "impactScore": 2.5, "exploitabilityScore": 2.8}, {"type": "Primary", "source": "nvd@nist.gov", "cvssData": {"scope": "UNCHANGED", "version": "3.1", "baseScore": 4.3, "attackVector": "NETWORK", "baseSeverity": "MEDIUM", "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N", "integrityImpact": "LOW", "userInteraction": "NONE", "attackComplexity": "LOW", "availabilityImpact": "NONE", "privilegesRequired": "LOW", "confidentialityImpact": "NONE"}, "impactScore": 1.4, "exploitabilityScore": 2.8}]}, "published": "2025-02-19T17:15:15.800", "references": [{"url": "https://github.com/directus/directus/releases/tag/v11.1.2", "tags": ["Release Notes"], "source": "security-advisories@github.com"}, {"url": "https://github.com/directus/directus/security/advisories/GHSA-99vm-5v2h-h6r6", "tags": ["Vendor Advisory"], "source": "security-advisories@github.com"}], "vulnStatus": "Analyzed", "weaknesses": [{"type": "Primary", "source": "security-advisories@github.com", "description": [{"lang": "en", "value": "CWE-863"}]}], "descriptions": [{"lang": "en", "value": "Directus is a real-time API and App dashboard for managing SQL database content. In affected versions if there are two overlapping policies for the `update` action that allow access to different fields, instead of correctly checking access permissions against the item they apply for the user is allowed to update the superset of fields allowed by any of the policies. E.g. have one policy allowing update access to `field_a` if the `id == 1` and one policy allowing update access to `field_b` if the `id == 2`. The user with both these policies is allowed to update both `field_a` and `field_b` for the items with ids `1` and `2`. Before v11, if a user was allowed to update an item they were allowed to update the fields that the single permission, that applied to that item, listed. With overlapping permissions this isn't as clear cut anymore and the union of fields might not be the fields the user is allowed to update for that specific item. The solution that this PR introduces is to evaluate the permissions for each field that the user tries to update in the validateItemAccess DB query, instead of only verifying access to the item as a whole. This is done by, instead of returning the actual field value, returning a flag that indicates if the user has access to that field. This uses the same case/when mechanism that is used for stripping out non permitted field that is at the core of the permissions engine. As a result, for every item that the access is validated for, the expected result is an item that has either 1 or null for all the \"requested\" fields instead of any of the actual field values. These results are not useful for anything other than verifying the field level access permissions. The final check in validateItemAccess can either fail if the number of items does not match the number of items the access is checked for (ie. the user does not have access to the item at all) or if not all of the passed in fields have access permissions for any of the returned items. This is a vulnerability that allows update access to unintended fields, potentially impacting the password field for user accounts. This has been addressed in version 11.1.2 and all users are advised to upgrade. There are no known workarounds for this vulnerability."}, {"lang": "es", "value": "Directus es un tablero de API y aplicaciones en tiempo real para administrar el contenido de la base de datos SQL. En las versiones afectadas, si hay dos pol\u00edticas superpuestas para la acci\u00f3n `` `update'' que permiten el acceso a diferentes campos, en lugar de verificar correctamente los permisos de acceso contra el elemento que solicitan para el usuario puede actualizar el superconjunto de campos permitidos por cualquiera de las pol\u00edticas. Por ejemplo: Tenga una pol\u00edtica que permita actualizar el acceso a `field_a` si el` id == 1` y una pol\u00edtica que permite el acceso de actualizaci\u00f3n a `field_b` si el` id == 2`. El usuario con ambas pol\u00edticas puede actualizar tanto `Field_A` y` Field_B` para los elementos con IDS `1` y` 2`. Antes de V11, si a un usuario se le permit\u00eda actualizar un elemento, se le permit\u00eda actualizar los campos que el permiso \u00fanico, que se aplicaba a ese elemento, enumer\u00f3. Con los permisos superpuestos, esto ya no es tan claro y la uni\u00f3n de los campos podr\u00eda no ser los campos que el usuario puede actualizar para ese elemento espec\u00edfico. La soluci\u00f3n que introduce este PR es evaluar los permisos para cada campo que el usuario intenta actualizar en la consulta DB de ValidateItemAccess, en lugar de verificar solo el acceso al elemento en su conjunto. Esto se hace, en lugar de devolver el valor de campo real, devolver un indicador que indica si el usuario tiene acceso a ese campo. Esto utiliza el mismo mecanismo de caso/cuando se utiliza para eliminar el campo no permitido que est\u00e9 en el n\u00facleo del motor de permisos. Como resultado, para cada elemento para el que se valida el acceso, el resultado esperado es un elemento que tiene 1 o NULL para todos los campos \"solicitados\" en lugar de cualquiera de los valores de campo reales. Estos resultados no son \u00fatiles para nada m\u00e1s que verificar los permisos de acceso a nivel de campo. La comprobaci\u00f3n final de ValidateItemAccess puede fallar si el n\u00famero de elementos no coincide con el n\u00famero de elementos para el que se verifica el acceso (es decir, el usuario no tiene acceso al elemento) o si no todos los campos pasados ??tienen Permisos de acceso para cualquiera de los art\u00edculos devueltos. Esta es una vulnerabilidad que permite actualizar el acceso a los campos no deseados, lo que puede impactar el campo de contrase\u00f1a para las cuentas de los usuarios. Esto se ha abordado en la versi\u00f3n 11.1.2 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad."}], "lastModified": "2025-02-27T20:18:12.583", "configurations": [{"nodes": [{"negate": false, "cpeMatch": [{"criteria": "cpe:2.3:a:monospace:directus:*:*:*:*:*:node.js:*:*", "vulnerable": true, "matchCriteriaId": "E4EEE6EE-0124-48C2-BD2E-A17C8D8F70A7", "versionEndExcluding": "11.1.2", "versionStartIncluding": "11.0.0"}], "operator": "OR"}]}], "sourceIdentifier": "security-advisories@github.com"}