CVE-2026-35413

Name of the Vulnerable Software and Affected Versions Directus (versões afetadas não especificadas)

Description Quando GRAPHQL INTROSPECTION=false está configurado, o Directus bloqueia consultas de introspecção GraphQL padrão, mas o resolver server specs graphql no endpoint /graphql/system retorna uma representação SDL equivalente do esquema. Isso ignora os controles de introspecção, expondo a estrutura do esquema (nomes de coleção, nomes de campo, tipos e relacionamentos) a usuários não autenticados no nível de permissão pública e a usuários autenticados no nível de permissão permitida. Administradores que definiram GRAPHQL INTROSPECTION=false tinham uma falsa sensação de segurança, pois as informações do esquema permaneciam acessíveis através do endpoint SDL.

Recommendations Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.