一、 漏洞 CVE-2025-53885 基础信息
漏洞信息
# Directus在通过事件钩子记录时不会对敏感用户数据进行模糊处理
## 漏洞概述
Directus 是一个用于管理 SQL 数据库内容的实时 API 和 App 管理面板。在版本 9.0.0 到 11.9.0 之间,使用 Directus Flows 处理用户 CRUD 事件时,恶意管理员可以利用 "Log to Console" 操作和模板字符串来记录其他用户的敏感数据。
## 影响版本
- 从版本 9.0.0 到 11.9.0
## 漏洞细节
在 Directus Flows 中,可以通过 "Log to Console" 操作和模板字符串记录用户创建或更新时的敏感数据。恶意管理员可以借此记录其他用户的敏感信息。
## 影响
- 恶意管理员可以记录其他用户的敏感数据。
- 版本 11.9.0 已修复此问题。
- 作为临时解决办法,开发以外的情况下避免将敏感数据记录到控制台中。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-53885 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-53885 的情报信息
-
标题: Improve redaction in Flows' Log to Console operation by br41nslug · Pull Request #25355 · directus/directus · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
-
标题: Sensitive user data is not being redacted when logged via event hooks · Advisory · directus/directus · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Improve redaction in Flows' Log to Console operation (#25355) · directus/directus@859f664 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-53885