CVE-2026-61836 in Directus
Sumário
de VulDB • 15/07/2026
Directus é um painel de API e aplicativo em tempo real para gerenciar conteúdo de bancos de dados SQL. Antes da versão 12.0.0, quando o cache de resposta está habilitado, a derivação da chave de cache em api/src/utils/get-cache-key.ts inclui version, path, query e accountability.user, mas omite o contexto de autorização como share, role, roles, admin, app e policies. Os tokens de compartilhamento do Directus (share) e as solicitações anônimas podem ambos resultar em user null; portanto, diferentes shares ou clientes anônimos solicitando a mesma URL e query podem receber uma resposta cacheada filtrada por permissões sem reavaliação das mesmas. Este problema foi corrigido na versão 12.0.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.