CVE-2026-35413 in Directusinformazioni

Riassunto

di VulDB • 15/06/2026

Directus è una dashboard per API e app real-time dedicata alla gestione dei contenuti di database SQL. Prima della versione 11.16.1, quando GRAPHQL_INTROSPECTION=false era configurato, Directus bloccava correttamente le query standard di introspezione GraphQL (__schema, __type). Tuttavia, il resolver server_specs_graphql sull'endpoint /graphql/system restituiva una rappresentazione SDL equivalente dello schema e non era soggetto alla stessa restrizione. Ciò consentiva di aggirare il controllo dell'introspezione, esponendo la struttura dello schema (nomi delle collezioni, nomi dei campi, tipi e relazioni) agli utenti non autenticati a livello di autorizzazione pubblico e agli utenti autenticati al loro livello di autorizzazione consentito. Questa vulnerabilità è stata risolta nella versione 11.16.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

02/04/2026

Divulgazione

07/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00314

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!