प्लेटफ़ॉर्म
nodejs
घटक
directus
में ठीक किया गया
11.16.1
सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) एक सुरक्षा भेद्यता है जिसमें हमलावर सर्वर को उनकी इच्छानुसार आंतरिक या बाहरी संसाधनों तक पहुंचने के लिए मजबूर कर सकता है। Directus में, एक SSRF सुरक्षा चूक की पहचान की गई थी जहाँ IPv4-Mapped IPv6 पतों का उपयोग करके IP पते सत्यापन तंत्र को बाईपास किया जा सकता था। यह भेद्यता Directus के पुराने संस्करणों को प्रभावित करती है, लेकिन Directus संस्करण 11.16.0 में इसे ठीक कर दिया गया है।
CVE-2026-35409 Directus को प्रभावित करता है, जो SQL डेटाबेस सामग्री को प्रबंधित करने के लिए एक रीयल-टाइम API और ऐप डैशबोर्ड है। यह भेद्यता सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) सुरक्षा का बाईपास है। संस्करण 11.16.0 से पहले, एक हमलावर स्थानीय और निजी नेटवर्क में अनुरोधों को ब्लॉक करने के लिए डिज़ाइन किए गए IP पते सत्यापन तंत्र को IPv4-Mapped IPv6 पता नोटेशन का उपयोग करके बायपास कर सकता था। इसने हमलावर को आमतौर पर संरक्षित आंतरिक संसाधनों के लिए अनुरोध भेजने की अनुमति दी, जिससे अंतर्निहित बुनियादी ढांचे की सुरक्षा से समझौता हो सकता है। संभावित प्रभाव में आंतरिक सेवाओं तक अनधिकृत पहुंच, गोपनीय फ़ाइलों को पढ़ना और आंतरिक प्रणालियों पर कमांड निष्पादित करना शामिल है, जो Directus सिस्टम के कॉन्फ़िगरेशन और अनुमतियों पर निर्भर करता है।
Directus में SSRF भेद्यता का शोषण Directus द्वारा वैध के रूप में संसाधित होने वाले दुर्भावनापूर्ण अनुरोध भेजकर किया जा सकता है। एक हमलावर IP प्रतिबंधों को बायपास करने के लिए IPv4-Mapped IPv6 नोटेशन का उपयोग कर सकता है। उदाहरण के लिए, एक हमलावर IPv4-Mapped IPv6 पते का उपयोग करके स्थानीय नेटवर्क पर एक आंतरिक सर्वर तक पहुंचने का प्रयास कर सकता है। यह पता आंतरिक IP पते पर हल होता है। सफल शोषण के लिए Directus को नेटवर्क पर उजागर करने और हमलावर को Directus उदाहरण को अनुरोध भेजने में सक्षम होने की आवश्यकता होती है। शोषण की जटिलता अपेक्षाकृत कम है, क्योंकि इसके लिए प्रमाणीकरण की आवश्यकता नहीं होती है और यह इनपुट सत्यापन में दोष पर आधारित है।
Organizations using Directus to manage SQL database content, particularly those with internal services accessible via HTTP/HTTPS, are at risk. Shared hosting environments where multiple Directus instances share the same server are also vulnerable, as a compromised instance could potentially be used to access other instances or internal resources.
• nodejs / server:
grep -r 'ipv4-mapped-ipv6' /var/www/directus/src/• generic web:
curl -I <directus_url>/api/some_internal_resource -H 'X-Forwarded-For: ::ffff:192.168.1.100' # Attempt to access internal resource with IPv4-Mapped IPv6disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35409 को कम करने का समाधान Directus को संस्करण 11.16.0 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो IP पते सत्यापन में सुधार करके SSRF भेद्यता को संबोधित करता है। अपने सिस्टम को सुरक्षित रखने के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, Directus कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित हो सके कि उपयोगकर्ताओं और भूमिकाओं को केवल आवश्यक अनुमतियाँ ही दी गई हैं। किसी भी संदिग्ध गतिविधि के लिए Directus लॉग की निगरानी करें जो शोषण के प्रयास का संकेत दे सकती है। अविश्वसनीय स्रोतों से Directus तक पहुंच को सीमित करने के लिए फ़ायरवॉल और अन्य नेटवर्क सुरक्षा उपायों को लागू करें।
Directus को संस्करण 11.16.0 या उससे ऊपर के संस्करण में अपडेट करें ताकि (Server-Side Request Forgery) (SSRF) भेद्यता को कम किया जा सके। यह अपडेट IP पतों को मान्य करने के तरीके को ठीक करता है, जिससे IPv4-Mapped IPv6 पतों का उपयोग करके सुरक्षा उपायों को दरकिनार करने और आंतरिक संसाधनों तक पहुंचने से रोका जा सके।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SSRF (सर्वर-साइड रिक्वेस्ट फोर्जरी) एक भेद्यता है जो एक हमलावर को सर्वर को उन संसाधनों के लिए अनुरोध करने की अनुमति देती है जिन तक सर्वर को सामान्य रूप से पहुंच नहीं होनी चाहिए, जैसे कि आंतरिक या बाहरी संसाधन।
यह IPv6 पता स्थान के भीतर IPv4 पतों का प्रतिनिधित्व करने का एक तरीका है, जो IPv4 और IPv6 सिस्टम को एक दूसरे के साथ संवाद करने की अनुमति देता है।
यदि आप Directus के 11.16.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। आप जिस Directus संस्करण का उपयोग कर रहे हैं, उसकी जांच करें और नवीनतम संस्करण में अपग्रेड करें।
हाँ, अपने Directus कॉन्फ़िगरेशन की समीक्षा करें, फ़ायरवॉल लागू करें और किसी भी संदिग्ध गतिविधि के लिए लॉग की निगरानी करें।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में CVE-2026-35409 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।