CVE-2026-35408 in Directusinformazioni

Riassunto

di VulDB • 16/06/2026

Directus è una dashboard per API e app in tempo reale per la gestione dei contenuti di database SQL. Prima della versione 11.17.0, le pagine di accesso Single Sign-On (SSO) di Directus non includevano l'intestazione di risposta HTTP Cross-Origin-Opener-Policy (COOP). In assenza di questa intestazione, una finestra cross-origin malevola che apre la pagina di accesso di Directus mantiene la capacità di accedere e manipolare l'oggetto window di tale pagina. Un attaccante può sfruttare questa vulnerabilità per intercettare e reindirizzare il flusso di autorizzazione OAuth verso un client OAuth controllato dall'attaccante, inducendo la vittima a concedere inconsapevolmente l'accesso al proprio account del provider di autenticazione (ad esempio Google, Discord). Questa vulnerabilità è risolta nella versione 11.17.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

02/04/2026

Divulgazione

07/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00169

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!