CVE-2026-39943

Name of the Vulnerable Software and Affected Versions Directus versões anteriores a 11.17.0

Description Directus armazena registros de revisão em directus revisions sempre que os itens são criados ou atualizados. O código de snapshot de revisão não utilizava consistentemente o pipeline de sanitização prepareDelta, permitindo que campos confidenciais como tokens de usuário, segredos de autenticação de dois fatores, identificadores de autenticação externos, dados de autenticação, credenciais armazenadas e chaves de API de provedores de IA fossem armazenados em texto simples dentro dos registros de revisão. Isso pode permitir que um usuário ou conta de serviço com acesso de leitura a directus revisions recupere informações confidenciais, potencialmente levando à tomada de controle de conta ou uso não autorizado de chaves de API de terceiros.

Recommendations Atualize para a versão 11.17.0 ou posterior.