Une vulnérabilité de type XSS (cross-site scripting) a été corrigée dans le célèbre moteur Directus, qui est un système de gestion de contenu (CMS) modulaire et open source, utilisé par les développeurs.

La faille est répertoriée sous le code de CVE-2022-24814, elle peut conduire à la compromission d'un compte en exécutant un JavaScript non autorisé via l’insertion d’une iframe dans l'interface HTML de texte riche qui mène à un fichier HTML téléchargé, et ce dernier charge le fichier JS.

Ce bogue de sécurité a été résolu dans la version 9.7.0 du moteur Directus. De plus, la société a amélioré une valeur par défaut "very permissive" pour la configuration CORS qui pouvait conduire à un accès non autorisé lorsque les configurations ne sont pas modifiées.

Les développeurs sont invités à mettre à jour leur système Directus vers la version corrigée afin d’atténuer toute menace possible.