CVE-2026-35441

Name of the Vulnerable Software and Affected Versions Directus versões anteriores a 11.17.0

Description Os endpoints GraphQL do Directus ('/graphql' e '/graphql/system') não impediam a execução repetida de consultas relacionais dispendiosas por meio do alias GraphQL. Um usuário autenticado poderia explorar isso para causar exaustão de CPU, memória e E/S, degradando ou travando potencialmente o serviço. O problema decorria da falta de deduplicação de resolvedores dentro de uma única solicitação, permitindo que um invasor multiplicasse a carga do banco de dados linearmente com o número de aliases usados. A limitação de taxa estava desativada por padrão, agravando o problema. Qualquer usuário autenticado, mesmo com permissões mínimas, poderia causar essa condição.

Recommendations Atualize para a versão 11.17.0 ou posterior.