CVE-2026-35409

Name of the Vulnerable Software and Affected Versions Directus versões anteriores a 11.16.0

Description Existe uma falha de bypass de proteção contra Server-Side Request Forgery (SSRF) no Directus. O mecanismo de validação de endereço IP usado para bloquear solicitações a redes locais e privadas poderia ser contornado usando a notação de endereço IPv6 mapeado para IPv4. A lógica de validação não normalizou os endereços IPv6 mapeados para IPv4 antes de verificá-los na lista de bloqueio, permitindo que um invasor ignorasse a restrição. Isso poderia permitir que um usuário autenticado (ou um usuário não autenticado, se as permissões de importação pública de arquivos estiverem habilitadas) realizasse ataques SSRF contra serviços internos ou endpoints de metadados de instâncias de nuvem.

Recommendations Atualize para a versão 11.16.0 ou posterior.