11.17.1
11.17.0
DirectusのSingle Sign-On (SSO) ログインページには、Cross-Origin-Opener-Policy (COOP) HTTPレスポンスヘッダーがありませんでした。このヘッダーがないと、Directusログインページを開くクロスオリジンウィンドウは、そのページのwindowオブジェクトにアクセスして操作できます。攻撃者はこれを利用して、OAuth認証フローを攻撃者制御のOAuthクライアントにリダイレクトし、被害者が気づかずに認証プロバイダーのアカウントへのアクセスを許可してしまう可能性があります。Directusのバージョン11.17.0で修正されました。
DirectusのCVE-2026-35408は、Single Sign-On(SSO)ログインページに影響を与えます。Cross-Origin-Opener-Policy(COOP)HTTPレスポンスヘッダーがないため、Directusのログインページを開く悪意のあるクロスオリジンのウィンドウは、そのページのwindowオブジェクトにアクセスして操作できます。これにより、攻撃者はOAuth認証フローを傍受し、攻撃者が制御するOAuthクライアントにリダイレクトさせることができ、被害者を認証プロバイダーアカウントへのアクセスを意図せずに許可することになります。特に、SSOをユーザー認証に依存する組織にとって、影響は大きいです。
攻撃者は、Directusのログインページをiframe内で開く悪意のあるウェブページを作成することで、この脆弱性を悪用する可能性があります。悪意のあるページは、次にJavaScriptコードを挿入してOAuth認証フローを傍受し、ユーザーを攻撃者が制御するサーバーにリダイレクトする可能性があります。ユーザーが攻撃者のサーバーに認証情報を入力すると、攻撃者はDirectus内のユーザーアカウントにアクセスできます。ユーザーがリダイレクトされるURLに注意を払わない場合に、この手法は特に効果的です。
Organizations using Directus with SSO enabled, particularly those relying on third-party authentication providers like Google or Discord, are at risk. Shared hosting environments where Directus instances share resources with other applications are also particularly vulnerable, as a compromised application could potentially exploit this vulnerability.
• nodejs / server:
curl -I <directus_sso_url> | grep 'Cross-Origin-Opener-Policy'• generic web:
curl -I <directus_sso_url> | grep 'Cross-Origin-Opener-Policy'disclosure
エクスプロイト状況
EPSS
0.02% (4% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性の解決策は、Directusをバージョン11.17.0以降にアップグレードすることです。このバージョンには、SSOログインページにCross-Origin-Opener-Policy(COOP)ヘッダーを実装し、windowオブジェクトの操作のリスクを軽減しています。Directusシステムとユーザーデータを保護するために、できるだけ早くこのアップデートを適用することを強くお勧めします。さらに、SSO構成をレビューして、明示的なリダイレクトやリターン ドメインの検証など、セキュリティのベストプラクティスが遵守されていることを確認してください。
Actualice Directus a la versión 11.17.0 o superior para mitigar la vulnerabilidad. Esta actualización implementa el encabezado Cross-Origin-Opener-Policy (COOP), que protege contra la manipulación del flujo de autorización OAuth por parte de sitios web maliciosos.
脆弱性分析と重要アラートをメールでお届けします。
COOPは、ドキュメントが別の起源から発生した別のウィンドウのwindowプロパティへのアクセスを制限するセキュリティポリシーです。これにより、クロスサイトスクリプティング(XSS)攻撃やwindowオブジェクトの操作に関連するその他の攻撃を防ぐのに役立ちます。
11.17.0より前のバージョンのDirectusを使用している場合、脆弱です。管理インターフェースでDirectusのバージョンを確認できます。
すぐにパスワードを変更し、Directusの監査ログを調べて不審な活動がないか確認してください。接続されているすべてのアプリケーションのアクセス トークンを取り消すことを検討してください。
はい、Directusを最新の状態に保ち、強力なパスワードを使用し、二要素認証を有効にし、セキュリティ構成を定期的にレビューしてください。
この脆弱性CVE-2026-35408に関する詳細情報は、National Vulnerability Database(NVD)のウェブサイトで入手できます。[https://nvd.nist.gov/vuln/detail/CVE-2026-35408](https://nvd.nist.gov/vuln/detail/CVE-2026-35408)
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。