CVE-2026-35408

Name of the Vulnerable Software and Affected Versions Directus versões anteriores a 11.17.0

Description As páginas de login de Single Sign-On (SSO) do Directus não possuíam o cabeçalho de resposta HTTP Cross-Origin-Opener-Policy (COOP). Isso permitia que uma janela de origem cruzada maliciosa acessasse e manipulasse o objeto window da página de login do Directus. Um invasor poderia interceptar e redirecionar o fluxo de autorização OAuth para um cliente OAuth malicioso, potencialmente obtendo acesso à conta do provedor de autenticação da vítima (por exemplo, Google, Discord). Um ataque bem-sucedido poderia levar ao acesso não autorizado à conta do provedor de identidade vinculada da vítima ou à tomada de controle da conta da instância Directus.

Recommendations Atualize para a versão 11.17.0 ou posterior do Directus. Como alternativa, configure seu proxy reverso ou servidor web para adicionar o cabeçalho de resposta HTTP Cross-Origin-Opener-Policy: same-origin a todas as respostas do Directus.