Directus: Omzeiling van SSRF-bescherming via IPv4-Mapped IPv6-adressen in Bestand Import

### Samenvatting Een omzeiling van de Server-Side Request Forgery (SSRF) bescherming is geïdentificeerd en verholpen in Directus. Het IP-adres validatie mechanisme dat gebruikt werd om verzoeken naar lokale en private netwerken te blokkeren, kon omzeild worden met behulp van IPv4-Mapped IPv6 adres notatie. ### Details Directus implementeert een IP deny-list om server-side verzoeken naar interne/private netwerkbereiken te voorkomen. De validatielogica normaliseerde IPv4-Mapped IPv6 adressen (bijv. de IPv6 representatie van `127.0.0.1`) niet voordat ze werden gecontroleerd tegen de deny-list. Omdat de deny-list check deze mapped adressen niet herkende als equivalent aan hun IPv4 tegenhangers, kon een aanvaller de restrictie omzeilen terwijl de onderliggende HTTP client en het besturingssysteem nog steeds verbinding maakten met de beoogde private target. Dit is verholpen door een normalisatiestap toe te voegen die IPv4-Mapped IPv6 adressen converteert naar hun canonieke IPv4 vorm voorafgaand aan validatie. ### Impact Een geauthenticeerde gebruiker (of een ongeauthenticeerde gebruiker als publieke bestand-import permissies zijn ingeschakeld) zou deze omzeiling kunnen exploiteren om SSRF aanvallen uit te voeren tegen interne services op dezelfde host (databases, caches, interne API's) of cloud instant