Plataforma
nodejs
Componente
directus
Corrigido em
11.17.1
11.17.0
Uma vulnerabilidade foi identificada nas páginas de Single Sign-On (SSO) do Directus. A ausência do cabeçalho HTTP Cross-Origin-Opener-Policy (COOP) permite que um atacante intercepte e redirecione o fluxo de autorização OAuth, permitindo que ele obtenha acesso a contas de autenticação de usuários.
A vulnerabilidade CVE-2026-35408 no Directus afeta as páginas de login com Single Sign-On (SSO). A ausência do cabeçalho HTTP Cross-Origin-Opener-Policy (COOP) permite que uma janela de origem cruzada maliciosa, que abre a página de login do Directus, acesse e manipule o objeto window dessa página. Isso facilita a interceptação e o redirecionamento do fluxo de autorização OAuth para um cliente OAuth controlado pelo atacante, enganando a vítima para que conceda acesso à sua conta do provedor de autenticação sem saber. O risco é significativo, especialmente para organizações que dependem de SSO para a autenticação de usuários.
Um atacante pode explorar esta vulnerabilidade criando uma página web maliciosa que abre a página de login do Directus em um iframe. A página maliciosa pode então injetar código JavaScript para interceptar o fluxo de autorização OAuth e redirecionar o usuário para um servidor controlado pelo atacante. Uma vez que o usuário insere suas credenciais no servidor do atacante, o atacante pode obter acesso à conta do usuário no Directus. Esta técnica é particularmente eficaz se o usuário não prestar atenção ao URL para o qual está sendo redirecionado.
Organizations using Directus with SSO enabled, particularly those relying on third-party authentication providers like Google or Discord, are at risk. Shared hosting environments where Directus instances share resources with other applications are also particularly vulnerable, as a compromised application could potentially exploit this vulnerability.
• nodejs / server:
curl -I <directus_sso_url> | grep 'Cross-Origin-Opener-Policy'• generic web:
curl -I <directus_sso_url> | grep 'Cross-Origin-Opener-Policy'disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o Directus para a versão 11.17.0 ou superior. Esta versão inclui a implementação do cabeçalho Cross-Origin-Opener-Policy (COOP) nas páginas de login SSO, mitigando o risco de manipulação do objeto window. Recomenda-se fortemente aplicar esta atualização o mais breve possível para proteger os sistemas Directus e os dados dos usuários. Além disso, revise as configurações de SSO para garantir que as melhores práticas de segurança sejam cumpridas, como o uso de redirecionamentos explícitos e a validação dos domínios de retorno.
Actualice Directus a la versión 11.17.0 o superior para mitigar la vulnerabilidad. Esta actualización implementa el encabezado Cross-Origin-Opener-Policy (COOP), que protege contra la manipulación del flujo de autorización OAuth por parte de sitios web maliciosos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
COOP é uma política de segurança que restringe o acesso de um documento à propriedade window de outra janela que se originou de um domínio diferente. Ajuda a prevenir ataques de cross-site scripting (XSS) e outros ataques relacionados à manipulação do objeto window.
Se você estiver usando uma versão do Directus anterior à 11.17.0, é vulnerável. Você pode verificar a versão do Directus que está usando na interface de administração.
Altere sua senha imediatamente e revise os logs de auditoria do Directus para detectar qualquer atividade suspeita. Considere a possibilidade de revogar os tokens de acesso de todos os aplicativos conectados.
Sim, certifique-se de manter o Directus atualizado, use senhas fortes, habilite a autenticação de dois fatores e revise regularmente as configurações de segurança.
Você pode encontrar mais informações sobre a vulnerabilidade CVE-2026-35408 no site do National Vulnerability Database (NVD): [https://nvd.nist.gov/vuln/detail/CVE-2026-35408](https://nvd.nist.gov/vuln/detail/CVE-2026-35408)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.