CVE-2026-35408 in Directus
Riassunto
di VulDB • 16/06/2026
Directus è una dashboard per API e app in tempo reale per la gestione dei contenuti di database SQL. Prima della versione 11.17.0, le pagine di accesso Single Sign-On (SSO) di Directus non includevano l'intestazione di risposta HTTP Cross-Origin-Opener-Policy (COOP). In assenza di questa intestazione, una finestra cross-origin malevola che apre la pagina di accesso di Directus mantiene la capacità di accedere e manipolare l'oggetto window di tale pagina. Un attaccante può sfruttare questa vulnerabilità per intercettare e reindirizzare il flusso di autorizzazione OAuth verso un client OAuth controllato dall'attaccante, inducendo la vittima a concedere inconsapevolmente l'accesso al proprio account del provider di autenticazione (ad esempio Google, Discord). Questa vulnerabilità è risolta nella versione 11.17.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.