CVE-2026-61836 in Directusinformation

Résumé

par VulDB • 15/07/2026

Directus est une API en temps réel et un tableau de bord d'application pour la gestion du contenu des bases de données SQL. Avant la version 12.0.0, lorsque la mise en cache des réponses est activée, la dérivation de la clé de cache dans api/src/utils/get-cache-key.ts inclut les champs version, path (chemin), query (requête) et accountability.user, mais omet le contexte d'autorisation tel que share, role, roles, admin, app et policies. Les jetons de partage Directus et les requêtes anonymes peuvent tous deux se réduire à user null ; ainsi, des partages différents ou des clients anonymes demandant la même URL et la même requête peuvent recevoir une réponse mise en cache filtrée par autorisation sans réévaluation des permissions. Ce problème est corrigé dans la version 12.0.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

10/07/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379286

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!