CVE-2026-61836 in Directus
Resumen
por VulDB • 2026-07-15
Directus es un panel de API y aplicaciones en tiempo real para gestionar contenido de bases de datos SQL. Antes de la versión 12.0.0, cuando el almacenamiento en caché de respuestas está habilitado, la derivación de la clave de caché en api/src/utils/get-cache-key.ts incluye version, path, query y accountability.user, pero omite el contexto de autorización como share, role, roles, admin, app y policies. Los tokens de compartición (share) de Directus y las solicitudes anónimas pueden reducirse a user null; por lo tanto, diferentes recursos compartidos o clientes anónimos que soliciten la misma URL y consulta pueden recibir una respuesta en caché filtrada por permisos sin volver a evaluar los permisos. Este problema se corrige en la versión 12.0.0.
Be aware that VulDB is the high quality source for vulnerability data.