CVE-2024-39895

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-39895
Directus is a real-time API and App dashboard for managing SQL database content. A denial of service (DoS) attack by field duplication in GraphQL is a type of attack where an attacker exploits the flexibility of GraphQL to overwhelm a server by requesting the same field multiple times in a single query. This can cause the server to perform redundant computations and consume excessive resources, leading to a denial of service for legitimate users. Request to the endpoint /graphql are sent when visualizing graphs generated at a dashboard. By modifying the data sent and duplicating many times the fields a DoS attack is possible. This vulnerability is fixed in 10.12.0.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/directus/directus/commit/543b345695071c1de61a35004bd063fe59dba0c8
https://github.com/directus/directus/security/advisories/GHSA-7hmh-pfrp-vcx4
Configurations

No configuration.

History

09 Jul 2024, 18:19

Type Values Removed Values Added
Summary
  • (es) Directus es una API y un panel de aplicaciones en tiempo real para administrar el contenido de la base de datos SQL. Un ataque de denegación de servicio (DoS) por duplicación de campos en GraphQL es un tipo de ataque en el que un atacante aprovecha la flexibilidad de GraphQL para abrumar a un servidor solicitando el mismo campo varias veces en una sola consulta. Esto puede hacer que el servidor realice cálculos redundantes y consuma recursos excesivos, lo que lleva a una denegación de servicio para usuarios legítimos. La solicitud al endpoint /graphql se envía al visualizar gráficos generados en un panel. Modificando los datos enviados y duplicando muchas veces los campos es posible un ataque DoS. Esta vulnerabilidad se solucionó en 10.12.0.

08 Jul 2024, 17:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-07-08 17:15

Updated : 2024-07-09 18:19

NVD link : CVE-2024-39895

Mitre link : CVE-2024-39895

CVE.ORG link : CVE-2024-39895

JSON object : View

Products Affected

No product.

CWE
CWE-400

Uncontrolled Resource Consumption