UNKNOWNCVE-2026-35442
CVE-2026-35442:Directus 信息泄露漏洞,高危!
平台
nodejs
组件
directus
已修复版本
11.17.0
CVE-2026-35442 是 Directus 中的一个信息泄露漏洞。当对具有 `conceal` 特殊类型的字段应用聚合函数(`min`,`max`)时,会错误地返回原始数据库值,而不是屏蔽的占位符。结合 `groupBy`,任何具有受影响集合读取权限的经过身份验证的用户都可以提取隐藏字段值,包括来自 `directus_users` 的静态 API 令牌和双因素身份验证密钥。此漏洞已在 Directus 11.17.0 版本中修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
什么是 CVE-2026-35442 漏洞?
CVE-2026-35442 是 Directus 中的一个信息泄露漏洞,允许攻击者提取隐藏字段值。
我是否受到 CVE-2026-35442 漏洞的影响?
如果您正在使用 Directus 11.17.0 之前的版本,则您可能受到此漏洞的影响。
如何修复 CVE-2026-35442 漏洞?
将 Directus 升级到 11.17.0 或更高版本即可修复此漏洞。