Plataforma
nodejs
Componente
directus
Corrigido em
11.16.1
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no Directus, permitindo que atacantes contornem a proteção contra requisições a redes internas e privadas. Essa falha ocorre devido a uma validação inadequada de endereços IPv4-Mapped IPv6, possibilitando o acesso a recursos sensíveis. A vulnerabilidade afeta versões do Directus anteriores à 11.16.0, e uma correção já foi implementada.
CVE-2026-35409 afeta o Directus, uma plataforma de API e painel de aplicativos em tempo real para gerenciamento de conteúdo de banco de dados SQL. A vulnerabilidade é uma falha na proteção contra Falsificação de Solicitação do Lado do Servidor (SSRF). Antes da versão 11.16.0, um invasor poderia contornar o mecanismo de validação de endereço IP projetado para bloquear solicitações a redes locais e privadas, utilizando a notação de endereço IPv4-Mapped IPv6. Isso permitiu que um invasor fizesse solicitações a recursos internos que normalmente estariam protegidos, comprometendo potencialmente a segurança da infraestrutura subjacente. O impacto potencial inclui acesso não autorizado a serviços internos, leitura de arquivos confidenciais e execução de comandos em sistemas internos, dependendo da configuração e das permissões do sistema Directus.
A vulnerabilidade SSRF no Directus pode ser explorada enviando solicitações maliciosas que o Directus processa como se fossem legítimas. Um invasor pode usar a notação IPv4-Mapped IPv6 para contornar as restrições de IP. Por exemplo, um invasor pode tentar acessar um servidor interno na rede local usando um endereço IPv4-Mapped IPv6 que se resolve para o endereço IP interno. A exploração bem-sucedida requer que o Directus esteja exposto à rede e que o invasor possa enviar solicitações à instância do Directus. A complexidade da exploração é relativamente baixa, pois não requer autenticação e se baseia em uma falha na validação da entrada.
Organizations using Directus to manage SQL database content, particularly those with internal services accessible via HTTP/HTTPS, are at risk. Shared hosting environments where multiple Directus instances share the same server are also vulnerable, as a compromised instance could potentially be used to access other instances or internal resources.
• nodejs / server:
grep -r 'ipv4-mapped-ipv6' /var/www/directus/src/• generic web:
curl -I <directus_url>/api/some_internal_resource -H 'X-Forwarded-For: ::ffff:192.168.1.100' # Attempt to access internal resource with IPv4-Mapped IPv6disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução para mitigar CVE-2026-35409 é atualizar o Directus para a versão 11.16.0 ou superior. Esta versão inclui uma correção que aborda a vulnerabilidade SSRF melhorando a validação de endereços IP. Recomenda-se aplicar esta atualização o mais rápido possível para proteger seus sistemas. Além disso, revise a configuração do Directus para garantir que apenas as permissões necessárias sejam concedidas a usuários e funções. Monitore os logs do Directus em busca de atividades suspeitas que possam indicar uma tentativa de exploração. Implemente firewalls e outras medidas de segurança de rede para limitar o acesso ao Directus a partir de fontes não confiáveis.
Atualize Directus para a versão 11.16.0 ou superior para mitigar a vulnerabilidade de Server-Side Request Forgery (SSRF). Esta atualização corrige a forma como os endereços IP são validados, evitando que endereços IPv4-Mapped IPv6 sejam utilizados para contornar as proteções e acessar recursos internos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SSRF (Server-Side Request Forgery) é uma vulnerabilidade que permite a um invasor fazer com que o servidor realize solicitações a recursos que o servidor não deveria ser capaz de acessar, como recursos internos ou externos.
É uma forma de representar endereços IPv4 dentro do espaço de endereços IPv6, permitindo que sistemas IPv4 e IPv6 se comuniquem entre si.
Se você estiver usando uma versão do Directus anterior à 11.16.0, provavelmente estará afetado. Verifique a versão do Directus que você está usando e atualize para a versão mais recente.
Sim, revise a configuração do Directus, implemente firewalls e monitore os logs em busca de atividades suspeitas.
Você pode encontrar mais informações sobre CVE-2026-35409 em bancos de dados de vulnerabilidades, como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.