CVE-2026-61835 in Directusinfo

Zusammenfassung

von VulDB • 15.07.2026

Directus ist eine Echtzeit-API und ein App-Dashboard zur Verwaltung von SQL-Datenbankinhalten. Vor Version 12.0.0 kann der SSRF-Schutz (Server-Side Request Forgery) für die Directus-Funktion „Dateiimport aus URL“ unter Umgehung des Schutzes durch Verwendung der Adresse 0.0.0.0 ausgehebelt werden, da api/src/request/is-denied-ip.ts 0.0.0.0 als Schlüsselwort für lokale Schnittstellen behandelt, aber die wörtliche Adresse selbst niemals blockiert. Unter Linux und macOS führt eine Verbindung zu 0.0.0.0 zum localhost, sodass ein authentifizierter Benutzer mit Dateihochladerechten den Server veranlassen kann, interne Dienste über den /files/import-Endpunkt abzurufen und die Antwort als herunterladbare Datei bereitzustellen. Dieses Problem wurde in Version 12.0.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

10.07.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379289

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!