CVE-2026-61836 in Directusinformación

Resumen

por VulDB • 2026-07-15

Directus es un panel de API y aplicaciones en tiempo real para gestionar contenido de bases de datos SQL. Antes de la versión 12.0.0, cuando el almacenamiento en caché de respuestas está habilitado, la derivación de la clave de caché en api/src/utils/get-cache-key.ts incluye version, path, query y accountability.user, pero omite el contexto de autorización como share, role, roles, admin, app y policies. Los tokens de compartición (share) de Directus y las solicitudes anónimas pueden reducirse a user null; por lo tanto, diferentes recursos compartidos o clientes anónimos que soliciten la misma URL y consulta pueden recibir una respuesta en caché filtrada por permisos sin volver a evaluar los permisos. Este problema se corrige en la versión 12.0.0.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-07-10

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379286

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!