Plateforme
nodejs
Composant
directus
Corrigé dans
11.16.1
CVE-2026-35409 est une vulnérabilité de type Server-Side Request Forgery (SSRF) affectant Directus. Elle permet de contourner la protection SSRF en utilisant la notation d'adresse IPv4-Mapped IPv6. La version corrigée est 11.16.0.
CVE-2026-35409 affecte Directus, une API en temps réel et un tableau de bord d'applications pour la gestion du contenu de base de données SQL. La vulnérabilité est un contournement de la protection contre la falsification de requêtes côté serveur (SSRF). Avant la version 11.16.0, un attaquant pouvait contourner le mécanisme de validation d'adresse IP conçu pour bloquer les requêtes vers les réseaux locaux et privés en utilisant la notation d'adresse IPv4-Mapped IPv6. Cela a permis à un attaquant d'effectuer des requêtes vers des ressources internes qui seraient normalement protégées, compromettant potentiellement la sécurité de l'infrastructure sous-jacente. L'impact potentiel comprend un accès non autorisé aux services internes, la lecture de fichiers confidentiels et l'exécution de commandes sur des systèmes internes, en fonction de la configuration et des autorisations du système Directus.
La vulnérabilité SSRF dans Directus peut être exploitée en envoyant des requêtes malveillantes que Directus traite comme légitimes. Un attaquant peut utiliser la notation IPv4-Mapped IPv6 pour contourner les restrictions d'IP. Par exemple, un attaquant pourrait tenter d'accéder à un serveur interne sur le réseau local en utilisant une adresse IPv4-Mapped IPv6 qui se résout à l'adresse IP interne. Une exploitation réussie nécessite que Directus soit exposé au réseau et que l'attaquant puisse envoyer des requêtes à l'instance Directus. La complexité de l'exploitation est relativement faible, car elle ne nécessite pas d'authentification et repose sur un défaut de validation de l'entrée.
Organizations using Directus to manage SQL database content, particularly those with internal services accessible via HTTP/HTTPS, are at risk. Shared hosting environments where multiple Directus instances share the same server are also vulnerable, as a compromised instance could potentially be used to access other instances or internal resources.
• nodejs / server:
grep -r 'ipv4-mapped-ipv6' /var/www/directus/src/• generic web:
curl -I <directus_url>/api/some_internal_resource -H 'X-Forwarded-For: ::ffff:192.168.1.100' # Attempt to access internal resource with IPv4-Mapped IPv6disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer CVE-2026-35409 consiste à mettre à niveau Directus vers la version 11.16.0 ou supérieure. Cette version inclut une correction qui corrige la vulnérabilité SSRF en améliorant la validation des adresses IP. Il est recommandé d'appliquer cette mise à niveau dès que possible pour protéger vos systèmes. De plus, examinez la configuration de Directus pour vous assurer que seuls les autorisations nécessaires sont accordées aux utilisateurs et aux rôles. Surveillez les journaux de Directus à la recherche d'activités suspectes qui pourraient indiquer une tentative d'exploitation. Mettez en œuvre des pare-feu et d'autres mesures de sécurité réseau pour limiter l'accès à Directus à partir de sources non fiables.
Mettez à jour Directus à la version 11.16.0 ou supérieure pour atténuer la vulnérabilité de Server-Side Request Forgery (SSRF). Cette mise à jour corrige la manière dont les adresses IP sont validées, empêchant l'utilisation d'adresses IPv4-Mapped IPv6 pour contourner les protections et accéder à des ressources internes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SSRF (Server-Side Request Forgery) est une vulnérabilité qui permet à un attaquant de faire en sorte que le serveur effectue des requêtes vers des ressources auxquelles le serveur ne devrait pas avoir accès, telles que des ressources internes ou externes.
C'est une façon de représenter les adresses IPv4 dans l'espace d'adresses IPv6, permettant aux systèmes IPv4 et IPv6 de communiquer entre eux.
Si vous utilisez une version de Directus antérieure à 11.16.0, vous êtes probablement affecté. Vérifiez la version de Directus que vous utilisez et mettez à niveau vers la dernière version.
Oui, examinez la configuration de Directus, mettez en œuvre des pare-feu et surveillez les journaux à la recherche d'activités suspectes.
Vous pouvez trouver plus d'informations sur CVE-2026-35409 sur les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.