CVE-2026-61836 in Directus정보

요약

\~에 의해 VulDB • 2026. 07. 15.

Directus는 SQL 데이터베이스 콘텐츠를 관리하기 위한 실시간 API 및 앱 대시보드입니다. 버전 12.0.0 이전에서는 응답 캐싱이 활성화된 경우, `api/src/utils/get-cache-key.ts`의 캐시 키 파생 로직에 버전, 경로, 쿼리, 그리고 accountability.user가 포함되지만 share, role, roles, admin, app 및 policies와 같은 권한 컨텍스트는 누락됩니다. Directus 공유 토큰과 익명 요청 모두 user null로 축소될 수 있으므로, 동일한 URL과 쿼리를 요청하는 서로 다른 공유 또는 익명 클라이언트는 권한 재평가 없이 권한 필터링된 캐시 응답을 받을 수 있습니다. 이 문제는 버전 12.0.0에서 수정되었습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 07. 10.

모더레이션

수락

항목

VDB-379286

EPSS

0.00000

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!