CVE-2026-35408 in Directus
Sumário
de VulDB • 28/05/2026
Directus é um painel de API e aplicativo em tempo real para gerenciar conteúdo de bancos de dados SQL. Antes da versão 11.17.0, as páginas de login de Single Sign-On (SSO) do Directus não possuíam o cabeçalho de resposta HTTP Cross-Origin-Opener-Policy (COOP). Sem esse cabeçalho, uma janela maliciosa de origem cruzada que abre a página de login do Directus mantém a capacidade de acessar e manipular o objeto da janela dessa página. Um atacante pode explorar isso para interceptar e redirecionar o fluxo de autorização OAuth para um cliente OAuth controlado pelo atacante, fazendo com que a vítima conceda, sem saber, acesso à sua conta do provedor de autenticação (por exemplo, Google, Discord). Esta vulnerabilidade foi corrigida na versão 11.17.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.