Directusデータエンジンプラットフォームにパッチが適用されたXSSの脆弱性

クロスサイトスクリプティング（XSS）の脆弱性が、人気のあるDirectusエンジンにパッチされています。
DirectusはGitHubで14.9kのスターを達成し、約1,700のフォークがあります。
Directus v9.6.0以前に影響を与える、CVE-2022-24814がCMSのファイルアップロード機能で見つかりました。
これにより、通常のコンテンツセキュリティポリシーヘッダーが満たされ、ファイルで任意のJSを実行できるようになります。
Synopsysは1月28日にその調査結果をDirectusに開示しました。
さらに、Directusは、CORS構成の非常に許容度の高いデフォルト値を改善しました。