Platform
nodejs
Component
directus
Opgelost in
11.17.1
11.17.0
In directus is een kwetsbaarheid ontdekt in de Single Sign-On (SSO) login pagina's. Het ontbreken van een Cross-Origin-Opener-Policy (COOP) HTTP response header stelt aanvallers in staat om de OAuth autorisatie flow om te leiden naar een door hen gecontroleerde OAuth client. Deze kwetsbaarheid treft versies van directus voor 11.17.0. Een patch is beschikbaar.
CVE-2026-35408 in Directus beïnvloedt Single Sign-On (SSO) inlogpagina's. Het ontbreken van de Cross-Origin-Opener-Policy (COOP) HTTP-response header stelt een kwaadwillend cross-origin venster dat de Directus inlogpagina opent, in staat om het window-object van die pagina te benaderen en te manipuleren. Dit stelt een aanvaller in staat om de OAuth-autorisatieflow te onderscheppen en door te leiden naar een door de aanvaller gecontroleerde OAuth-client, waardoor het slachtoffer onwetend toegang verleent tot hun authenticatieprovideraccount. Het potentiële effect is aanzienlijk, met name voor organisaties die afhankelijk zijn van SSO voor gebruikersauthenticatie.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren door een kwaadaardige webpagina te maken die de Directus inlogpagina binnen een iframe opent. De kwaadaardige pagina zou dan JavaScript-code kunnen injecteren om de OAuth-autorisatieflow te onderscheppen en de gebruiker door te leiden naar een server die door de aanvaller wordt gecontroleerd. Zodra de gebruiker zijn inloggegevens op de server van de aanvaller invoert, kan de aanvaller toegang krijgen tot het gebruikersaccount in Directus. Deze techniek is bijzonder effectief als de gebruiker er niet goed op let welke URL hij wordt doorgestuurd.
Organizations using Directus with SSO enabled, particularly those relying on third-party authentication providers like Google or Discord, are at risk. Shared hosting environments where Directus instances share resources with other applications are also particularly vulnerable, as a compromised application could potentially exploit this vulnerability.
• nodejs / server:
curl -I <directus_sso_url> | grep 'Cross-Origin-Opener-Policy'• generic web:
curl -I <directus_sso_url> | grep 'Cross-Origin-Opener-Policy'disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is het upgraden van Directus naar versie 11.17.0 of hoger. Deze versie bevat de implementatie van de Cross-Origin-Opener-Policy (COOP) header op SSO-inlogpagina's, waardoor het risico op manipulatie van het window-object wordt verminderd. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om Directus-systemen en gebruikersgegevens te beschermen. Controleer bovendien uw SSO-configuraties om ervoor te zorgen dat best practices op het gebied van beveiliging worden gevolgd, zoals expliciete doorverwijzingen en validatie van het retourdomein.
Actualice Directus a la versión 11.17.0 o superior para mitigar la vulnerabilidad. Esta actualización implementa el encabezado Cross-Origin-Opener-Policy (COOP), que protege contra la manipulación del flujo de autorización OAuth por parte de sitios web maliciosos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
COOP is een beveiligingsbeleid dat een document ervan weerhoudt om de window-eigenschap van een ander venster te benaderen dat afkomstig is van een andere oorsprong. Het helpt cross-site scripting (XSS)-aanvallen en andere aanvallen te voorkomen die verband houden met het manipuleren van het window-object.
Als u een versie van Directus gebruikt die vóór 11.17.0 is uitgebracht, is deze kwetsbaar. U kunt de versie van Directus die u gebruikt controleren in de beheerdersinterface.
Wijzig uw wachtwoord onmiddellijk en bekijk de Directus-auditlogboeken op verdachte activiteiten. Overweeg om toegangstokens voor alle verbonden applicaties in te trekken.
Ja, zorg ervoor dat Directus up-to-date blijft, gebruik sterke wachtwoorden, schakel tweefactorauthenticatie in en bekijk regelmatig de beveiligingsconfiguraties.
U kunt meer informatie over CVE-2026-35408 vinden op de website van de National Vulnerability Database (NVD): [https://nvd.nist.gov/vuln/detail/CVE-2026-35408](https://nvd.nist.gov/vuln/detail/CVE-2026-35408)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.