UNKNOWNCVE-2026-35442
CVE-2026-35442: Directus Concealフィールド Aggregate関数脆弱性 (≤11.16.x)
プラットフォーム
nodejs
コンポーネント
directus
修正バージョン
11.17.0
DirectusのAggregate関数 (`min`, `max`) は、`conceal`特殊タイプを持つフィールドに適用されると、マスクされたプレースホルダーの代わりに生のデータベース値を誤って返します。`groupBy`と組み合わせることで、認証されたユーザーは、`directus_users`から隠されたフィールドの値(静的APIトークンや二要素認証のシークレットなど)を抽出できます。Directusのバージョン11.17.0で修正されました。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-35442とは何ですか?
Directusの`conceal`フィールドにおけるAggregate関数の脆弱性です。
私は影響を受けていますか?
Directusのバージョンが11.17.0より前のバージョンを使用している場合、この脆弱性の影響を受ける可能性があります。
どうすれば修正できますか?
Directusをバージョン11.17.0以降にアップデートしてください。