CVE-2026-61835 in Directus情報

要約

〜によって VulDB • 2026年07月15日

Directusは、SQLデータベースコンテンツを管理するためのリアルタイムAPIおよびアプリダッシュボードです。バージョン12.0.0より前では、URLからのファイルインポート機能におけるSSRF(サーバーサイドリクエストフォージェリ)保護が、アドレス 0.0.0.0 を使用して回避可能です。これは、api/src/request/is-denied-ip.ts が 0.0.0.0 をローカルインターフェースのキーワードとして扱いますが、その文字列自体はブロックしないためです。LinuxおよびmacOSでは、0.0.0.0 に接続すると localhost に到達するため、ファイルアップロード権限を持つ認証済みユーザーが /files/import エンドポイントを介してサーバーに内部サービスへのアクセスをさせ、レスポンスを取得可能なダウンロードファイルとして取得することができます。この問題はバージョン 12.0.0 で修正されています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年07月10日

モデレーション

承諾済み

エントリ

VDB-379289

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!