Platform
nodejs
Component
directus
Opgelost in
11.16.1
CVE-2026-35409 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in Directus, een real-time API en App dashboard voor het beheren van SQL database content. Deze kwetsbaarheid stelt aanvallers in staat om de IP-adresvalidatie te omzeilen en mogelijk ongeautoriseerde toegang te krijgen tot interne bronnen. De kwetsbaarheid treft versies van Directus tussen 0.0.0 en 11.15.9 (exclusief). Een fix is beschikbaar in versie 11.16.0.
CVE-2026-35409 treft Directus, een real-time API en App dashboard voor het beheren van SQL database content. De kwetsbaarheid is een omzeiling van de Server-Side Request Forgery (SSRF) bescherming. Voor versie 11.16.0 kon een aanvaller de IP-adresvalidatiemechanismen, die bedoeld zijn om verzoeken naar lokale en private netwerken te blokkeren, omzeilen door IPv4-Mapped IPv6 adresnotatie te gebruiken. Dit stelde een aanvaller in staat om verzoeken te sturen naar interne resources die normaal gesproken beschermd zouden zijn, waardoor de beveiliging van de onderliggende infrastructuur mogelijk werd gecompromitteerd. Mogelijke impact omvat ongeautoriseerde toegang tot interne services, het lezen van vertrouwelijke bestanden en het uitvoeren van commando's op interne systemen, afhankelijk van de configuratie en permissies van het Directus systeem.
De SSRF kwetsbaarheid in Directus kan worden misbruikt door kwaadaardige verzoeken te verzenden die Directus verwerkt als legitieme verzoeken. Een aanvaller kan IPv4-Mapped IPv6 notatie gebruiken om IP-restricties te omzeilen. Bijvoorbeeld, een aanvaller zou kunnen proberen toegang te krijgen tot een interne server op het lokale netwerk met behulp van een IPv4-Mapped IPv6 adres dat zich vertaalt naar het interne IP-adres. Een succesvolle exploitatie vereist dat Directus aan het netwerk wordt blootgesteld en dat de aanvaller in staat is om verzoeken naar de Directus instantie te verzenden. De complexiteit van de exploitatie is relatief laag, omdat geen authenticatie vereist is en het gebaseerd is op een fout in de invoervalidatie.
Organizations using Directus to manage SQL database content, particularly those with internal services accessible via HTTP/HTTPS, are at risk. Shared hosting environments where multiple Directus instances share the same server are also vulnerable, as a compromised instance could potentially be used to access other instances or internal resources.
• nodejs / server:
grep -r 'ipv4-mapped-ipv6' /var/www/directus/src/• generic web:
curl -I <directus_url>/api/some_internal_resource -H 'X-Forwarded-For: ::ffff:192.168.1.100' # Attempt to access internal resource with IPv4-Mapped IPv6disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De oplossing om CVE-2026-35409 te mitigeren is het upgraden van Directus naar versie 11.16.0 of hoger. Deze versie bevat een fix die de SSRF kwetsbaarheid aanpakt door de IP-adresvalidatie te verbeteren. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om uw systemen te beschermen. Bekijk bovendien uw Directus configuratie om ervoor te zorgen dat alleen de noodzakelijke permissies worden verleend aan gebruikers en rollen. Bewaak Directus logs op verdachte activiteiten die een poging tot exploitatie kunnen aangeven. Implementeer firewalls en andere netwerkbeveiligingsmaatregelen om de toegang tot Directus vanaf onbetrouwbare bronnen te beperken.
Werk Directus bij naar versie 11.16.0 of hoger om de Server-Side Request Forgery (SSRF) kwetsbaarheid te mitigeren. Deze update corrigeert de manier waarop IP-adressen worden gevalideerd, waardoor het gebruik van IPv4-Mapped IPv6 adressen om beveiligingen te omzeilen en toegang te krijgen tot interne resources wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SSRF (Server-Side Request Forgery) is een kwetsbaarheid die een aanvaller in staat stelt de server te laten verzoeken naar resources waar de server normaal gesproken geen toegang toe zou moeten hebben, zoals interne of externe resources.
Het is een manier om IPv4-adressen weer te geven binnen de IPv6-adresruimte, waardoor IPv4- en IPv6-systemen met elkaar kunnen communiceren.
Als u een versie van Directus gebruikt die vóór 11.16.0 is uitgebracht, is de kans groot dat u getroffen bent. Controleer de versie van Directus die u gebruikt en upgrade naar de nieuwste versie.
Ja, bekijk uw Directus configuratie, implementeer firewalls en bewaak de logs op verdachte activiteiten.
U kunt meer informatie over CVE-2026-35409 vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.