UNKNOWNCVE-2026-35408
CVE-2026-35408: Directus SSO OAuthリダイレクト脆弱性 (≤11.16.x)
プラットフォーム
nodejs
コンポーネント
directus
修正バージョン
11.17.0
DirectusのSingle Sign-On (SSO) ログインページには、`Cross-Origin-Opener-Policy` (COOP) HTTPレスポンスヘッダーがありませんでした。このヘッダーがないと、Directusログインページを開くクロスオリジンウィンドウは、そのページの`window`オブジェクトにアクセスして操作できます。攻撃者はこれを利用して、OAuth認証フローを攻撃者制御のOAuthクライアントにリダイレクトし、被害者が気づかずに認証プロバイダーのアカウントへのアクセスを許可してしまう可能性があります。Directusのバージョン11.17.0で修正されました。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-35408とは何ですか?
DirectusのSSOログインページにおけるOAuth認証フローのリダイレクト脆弱性です。
私は影響を受けていますか?
Directusのバージョンが11.17.0より前のバージョンを使用している場合、この脆弱性の影響を受ける可能性があります。
どうすれば修正できますか?
Directusをバージョン11.17.0以降にアップデートしてください。