Vazamento de Dados Directus: Conceal Fields - CVE-2026-35442 (v11.17.0)
Plataforma
nodejs
Componente
directus
Corrigido em
11.17.0
Uma vulnerabilidade foi identificada no Directus, onde funções agregadas (min, max) aplicadas a campos com o tipo especial `conceal` retornam incorretamente valores brutos do banco de dados em vez do placeholder mascarado. Quando combinado com `groupBy`, qualquer usuário autenticado com acesso de leitura à coleção afetada pode extrair valores de campos ocultos, incluindo tokens de API estáticos e segredos de autenticação de dois fatores de `directus_users`.
Como corrigir
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Perguntas frequentes
O que é CVE-2026-35442?
É uma vulnerabilidade de vazamento de dados no Directus que permite a extração de valores de campos 'conceal'.
Estou afetado?
Se você estiver usando uma versão do Directus anterior a 11.17.0, você está vulnerável.
Como corrigir?
Atualize para a versão 11.17.0 ou superior.
Monitore suas dependências automaticamente
Receba alertas quando novas vulnerabilidades afetarem seus projetos.
Começar grátis