CVE-2026-61835 in Directusالمعلومات

الملخص

بحسب VulDB • 16/07/2026

Directus هو لوحة تحكم API وتطبيقات في الوقت الفعلي لإدارة محتوى قواعد بيانات SQL. قبل الإصدار 12.0.0، يمكن تجاوز حماية SSRF (توجيه الطلبات من جانب الخادم) المضمنة في ميزة استيراد الملفات عبر URL في Directus باستخدام العنوان 0.0.0.0، لأن الملف api/src/request/is-denied-ip.ts يعامل 0.0.0.0 على أنه كلمة مفتاحية للواجهات المحلية ولكنه لا يحظر العنوان الحرفي نفسه أبدًا. على أنظمة Linux وmacOS، يؤدي الاتصال بـ 0.0.0.0 إلى الوصول إلى localhost (المضيف المحلي)، مما يتيح لمستخدم مُصادق عليه يمتلك صلاحيات رفع الملفات إجبار الخادم على جلب خدمات داخلية عبر نقطة النهاية /files/import واسترداد الاستجابة كملف قابل للتنزيل. تم إصلاح هذه المشكلة في الإصدار 12.0.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

10/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379289

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!