Directus: IPv4-Mapped IPv6アドレスによるファイルインポート時のSSRF保護回避

### 概要 Directusにおいて、Server-Side Request Forgery (SSRF) 保護を回避できる脆弱性が特定され、修正されました。ローカルおよびプライベートネットワークへのリクエストをブロックするために使用されていたIPアドレス検証メカニズムは、IPv4-Mapped IPv6アドレス表記を使用することで回避可能でした。 ### 詳細 Directusは、内部/プライベートネットワーク範囲へのサーバーサイドリクエストを防止するために、IP拒否リストを実装しています。検証ロジックは、拒否リストに対してチェックする前に、IPv4-Mapped IPv6アドレス (例: `127.0.0.1`のIPv6表現) を正規化していませんでした。拒否リストチェックがこれらのマッピングされたアドレスを対応するIPv4アドレスと同等として認識しなかったため、攻撃者は依然としてHTTPクライアントとオペレーティングシステムが意図したプライベートターゲットを解決して接続できるにもかかわらず、制限を回避できました。 この問題は、検証前にIPv4-Mapped IPv6アドレスをその標準的なIPv4形式に変換する正規化ステップを追加することで修正されました。 ### 影響 認証されたユーザー（またはパブリックファイルインポート権限が有効になっている場合、認証されていないユーザー）は、この回避策を利用して、同じホスト上の内部サービス（データベース、キャッシュ、内部API）またはクラウドインスタンスに対してSSRF攻撃を実行できる可能性があります。