CVE-2026-35412 in Directus정보

요약

\~에 의해 VulDB • 2026. 07. 01.

Directus는 SQL 데이터베이스 콘텐츠를 관리하기 위한 실시간 API 및 앱 대시보드입니다. 버전 11.16.1 이전의 Directus에서 TUS 재개식 업로드 엔드포인트(/files/tus)를 사용하면 기본 파일 업로드 권한이 있는 모든 인증된 사용자가 UUID를 통해 임의의 기존 파일을 덮어쓸 수 있습니다. TUS 컨트롤러는 컬렉션 수준의 권한 확인만 수행하여 사용자가 directus_files에 대해 일부 권한을 가지고 있는지 검증하지만, 교체되는 특정 파일에 대한 항목 수준 접근은 전혀 검증하지 않습니다. 그 결과, 행 단위 권한 규칙(예: "사용자는 자신의 파일만 업데이트할 수 있음")이 표준 REST 업로드 경로에서는 올바르게 적용되지만 TUS 경로를 통해 완전히 우회됩니다. 이 취약점은 11.16.1에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 04. 02.

모더레이션

수락

항목

VDB-355688

EPSS

0.00302

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!