HIGHCVE-2026-35409CVSS 7.7

Directus: IPv4-Mapped IPv6アドレスによるファイルインポート時のSSRF保護回避

Q: CVE-2026-35409 とは何ですか？（Directus の SSRF）

SSRF（Server-Side Request Forgery）は、攻撃者がサーバーがアクセスすべきではないリソース（内部または外部リソースなど）へのリクエストを実行させることを許可する脆弱性です。

Q: Directus の CVE-2026-35409 による影響を受けていますか？

これは、IPv6アドレス空間内でIPv4アドレスを表す方法であり、IPv4システムとIPv6システムが互いに通信できるようにします。

Q: Directus の CVE-2026-35409 を修正するにはどうすればよいですか？

Directusのバージョンが11.16.0より前の場合は、影響を受けている可能性が高いです。使用しているDirectusのバージョンを確認し、最新バージョンにアップグレードしてください。

Q: CVE-2026-35409 は積極的に悪用されていますか？

はい、Directus構成を調べて、ファイアウォールを実装し、疑わしいアクティビティがないかログを監視してください。

Q: CVE-2026-35409 に関する Directus の公式アドバイザリはどこで確認できますか？

CVE-2026-35409に関するより多くの情報は、National Vulnerability Database（NVD）などの脆弱性データベースで入手できます。

プラットフォーム

nodejs

コンポーネント

directus

修正版

11.16.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Directus は SQL データベースコンテンツを管理するためのリアルタイム API および App ダッシュボードです。バージョン 11.16.0 以前の Directus には、Server-Side Request Forgery (SSRF) の保護を回避できる脆弱性が存在しました。この脆弱性は、IPv4-Mapped IPv6 アドレス表記を使用して、ローカルおよびプライベートネットワークへのリクエストをブロックする IP アドレス検証メカニズムを回避することで悪用される可能性があります。Directus 11.16.0 でこの問題は修正されています。

影響と攻撃シナリオ

CVE-2026-35409 は、SQLデータベースコンテンツを管理するためのリアルタイムAPIとAppダッシュボードであるDirectusに影響を与えます。この脆弱性は、Server-Side Request Forgery (SSRF) 保護のバイパスです。バージョン11.16.0より前は、攻撃者がIPv4-Mapped IPv6アドレス表記を使用することで、ローカルおよびプライベートネットワークへのリクエストをブロックするように設計されたIPアドレス検証メカニズムを回避できました。これにより、攻撃者は通常保護されている内部リソースへのリクエストを送信できるようになり、潜在的に基盤となるインフラストラクチャのセキュリティが損なわれる可能性があります。潜在的な影響には、内部サービスへの不正アクセス、機密ファイルの読み取り、内部システム上でのコマンド実行が含まれます。Directusシステムの構成と権限によって異なります。

悪用の状況

DirectusのSSRF脆弱性は、Directusが正当なものとして処理する悪意のあるリクエストを送信することで悪用できます。攻撃者は、IP制限を回避するためにIPv4-Mapped IPv6表記を使用できます。たとえば、攻撃者はIPv4-Mapped IPv6アドレスを使用してローカルネットワーク上の内部サーバーにアクセスしようとする可能性があります。このアドレスは内部IPアドレスに解決されます。搾取の成功には、Directusがネットワークに公開されており、攻撃者がDirectusインスタンスにリクエストを送信できる必要があります。搾取の複雑さは比較的低く、認証を必要とせず、入力検証の欠陥に基づいています。

リスク対象者翻訳中…

Organizations using Directus to manage SQL database content, particularly those with internal services accessible via HTTP/HTTPS, are at risk. Shared hosting environments where multiple Directus instances share the same server are also vulnerable, as a compromised instance could potentially be used to access other instances or internal resources.

検出手順翻訳中…

• nodejs / server:

grep -r 'ipv4-mapped-ipv6' /var/www/directus/src/

• generic web:

curl -I <directus_url>/api/some_internal_resource -H 'X-Forwarded-For: ::ffff:192.168.1.100' # Attempt to access internal resource with IPv4-Mapped IPv6

攻撃タイムライン

2026-04-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントdirectus

ベンダーdirectus

影響範囲修正版

< 11.16.0 – < 11.16.011.16.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-04-02
公開日2026-04-06
更新日2026-04-08
EPSS 更新日2026-04-14

緩和策と回避策

CVE-2026-35409を軽減するための解決策は、Directusをバージョン11.16.0以降にアップグレードすることです。このバージョンには、IPアドレス検証を改善することでSSRF脆弱性を修正する修正が含まれています。システムを保護するために、できるだけ早くこのアップデートを適用することをお勧めします。さらに、Directus構成を調べて、ユーザーとロールに必要な権限のみが付与されていることを確認してください。Directusログを監視して、搾取の試みを意味する可能性のある疑わしいアクティビティがないか確認してください。信頼できないソースからのDirectusへのアクセスを制限するために、ファイアウォールおよびその他のネットワークセキュリティ対策を実装してください。

修正方法

Directusをバージョン11.16.0以降にアップデートすることで、Server-Side Request Forgery (SSRF)の脆弱性を軽減します。このアップデートは、IPアドレスの検証方法を修正し、IPv4-Mapped IPv6アドレスを使用して保護を回避し、内部リソースにアクセスすることを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35409 とは何ですか？（Directus の SSRF）