CVE-2026-61836 in Directusinformazioni

Riassunto

di VulDB • 15/07/2026

Directus è un'API real-time e una dashboard per app dedicata alla gestione dei contenuti di database SQL. Prima della versione 12.0.0, quando la cache delle risposte è abilitata, la derivazione del chiave di cache in api/src/utils/get-cache-key.ts include version, path, query e accountability.user ma omette il contesto di autorizzazione come share, role, roles, admin, app e policies. I token di condivisione Directus (share tokens) e le richieste anonime possono entrambi essere ridotti a user null; pertanto, condivisioni diverse o client anonimi che richiedono lo stesso URL e query possono ricevere una risposta memorizzata nella cache filtrata per permessi senza una nuova valutazione dei permessi. Questo problema è stato risolto nella versione 12.0.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

10/07/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!