CVE-2026-61836 in Directus
Résumé
par VulDB • 15/07/2026
Directus est une API en temps réel et un tableau de bord d'application pour la gestion du contenu des bases de données SQL. Avant la version 12.0.0, lorsque la mise en cache des réponses est activée, la dérivation de la clé de cache dans api/src/utils/get-cache-key.ts inclut les champs version, path (chemin), query (requête) et accountability.user, mais omet le contexte d'autorisation tel que share, role, roles, admin, app et policies. Les jetons de partage Directus et les requêtes anonymes peuvent tous deux se réduire à user null ; ainsi, des partages différents ou des clients anonymes demandant la même URL et la même requête peuvent recevoir une réponse mise en cache filtrée par autorisation sans réévaluation des permissions. Ce problème est corrigé dans la version 12.0.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.