CVE-2026-35442: directus Conceal Field Extraction (HIGH)
Platform
nodejs
Component
directus
Opgelost in
11.17.0
In directus is een kwetsbaarheid ontdekt in de manier waarop aggregate functies (`min`, `max`) omgaan met velden met het `conceal` type. Deze functies retourneren incorrect de raw database waarden in plaats van de masked placeholder, waardoor geauthenticeerde gebruikers concealed velden kunnen extraheren, inclusief API tokens en 2FA secrets. Deze kwetsbaarheid treft versies van directus voor 11.17.0. Een patch is beschikbaar.
Hoe te verhelpen
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Veelgestelde vragen
Wat is CVE-2026-35442?
CVE-2026-35442 is een kwetsbaarheid in directus die het mogelijk maakt om concealed velden te extraheren.
Ben ik kwetsbaar?
Ja, als u directus gebruikt in een versie lager dan 11.17.0 bent u kwetsbaar.
Hoe kan ik dit oplossen?
Update directus naar versie 11.17.0 of hoger om deze kwetsbaarheid te verhelpen.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen