CVE-2026-35442: Fuga de datos en Directus (Aggregate Functions)
Plataforma
nodejs
Componente
directus
Corregido en
11.17.0
CVE-2026-35442 es una vulnerabilidad en Directus que permite la fuga de datos ocultos. Las funciones aggregate (`min`, `max`) aplicadas a campos con el tipo especial `conceal` devuelven incorrectamente valores de la base de datos sin enmascarar. Combinado con `groupBy`, cualquier usuario autenticado con acceso de lectura a la colección afectada puede extraer valores de campos ocultos. La vulnerabilidad fue solucionada en la versión 11.17.0 de Directus.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-35442?
Es una vulnerabilidad en Directus que permite la fuga de datos ocultos a través de funciones aggregate en campos con el tipo `conceal`.
¿Estoy afectado por CVE-2026-35442?
Si estás utilizando una versión de Directus anterior a la 11.17.0 y utilizas campos con el tipo `conceal` y funciones aggregate, eres vulnerable.
¿Cómo puedo solucionar o mitigar CVE-2026-35442?
Actualiza Directus a la versión 11.17.0 o superior para solucionar esta vulnerabilidad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis