一、 漏洞 CVE-2024-27295 基础信息
漏洞标题
Directus与MySQL兼容,且不区分重音的电子邮件匹配功能。
来源:AIGC 神龙大模型
漏洞描述信息
Directus是一个实时API和应用仪表板,用于管理SQL数据库内容。Directus后端的密码重置机制允许攻击者接收受害者用户密码重置电子邮件,特别是将其发送到与受害者相似的电子邮件地址,并通过更改一或多个字符以使用重音符号。这是由于默认情况下MySQL/MariaDB配置为进行不区分重音和大小写的比较。此漏洞在10.8.3版本中得到修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
忘记口令恢复机制弱
来源:AIGC 神龙大模型
漏洞标题
Directus MySQL accent insensitive email matching
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Directus is a real-time API and App dashboard for managing SQL database content. The password reset mechanism of the Directus backend allows attackers to receive a password reset email of a victim user, specifically having it arrive at a similar email address as the victim with a one or more characters changed to use accents. This is due to the fact that by default MySQL/MariaDB are configured for accent-insensitive and case-insensitive comparisons. This vulnerability is fixed in version 10.8.3.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
使用不正确的解析名称或索引
来源:美国国家漏洞数据库 NVD
漏洞标题
Directus 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Directus是一个实时 Api 和应用程序仪表板。用于管理 Sql 数据库内容。 Directus 10.8.3之前版本存在安全漏洞,该漏洞源于允许攻击者接收受害用户的密码重置电子邮件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-27295 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-27295 的情报信息