CVE-2026-35408: Vulnerabilidad OAuth en Directus (COOP missing)
Plataforma
nodejs
Componente
directus
Corregido en
11.17.0
CVE-2026-35408 es una vulnerabilidad en las páginas de inicio de sesión SSO (Single Sign-On) de Directus debido a la falta de la cabecera HTTP `Cross-Origin-Opener-Policy` (COOP). Esto permite que una ventana maliciosa de origen cruzado acceda y manipule el objeto `window` de la página de inicio de sesión, interceptando y redirigiendo el flujo de autorización OAuth. La vulnerabilidad fue solucionada en la versión 11.17.0 de Directus.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-35408?
Es una vulnerabilidad en Directus que permite a un atacante robar cuentas OAuth al interceptar el flujo de autorización debido a la falta de la cabecera COOP.
¿Estoy afectado por CVE-2026-35408?
Si estás utilizando una versión de Directus anterior a la 11.17.0 y utilizas el inicio de sesión SSO, eres vulnerable.
¿Cómo puedo solucionar o mitigar CVE-2026-35408?
Actualiza Directus a la versión 11.17.0 o superior para solucionar esta vulnerabilidad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis