| Title | Monospace IncのDirectusにおける複数の脆弱性 |
|---|---|
| Summary | Directusは、SQLデータベースの内容を管理するためのリアルタイムAPIおよびアプリダッシュボードです。バージョン11.17.0以前のDirectusのGraphQLエンドポイント(/graphqlおよび/graphql/system)は、単一リクエスト内でリゾルバー呼び出しの重複排除を行っていませんでした。認証されたユーザーはGraphQLのエイリアス機能を悪用して、高コストなリレーションクエリを単一リクエスト内で何度も繰り返し実行させることができました。これによりサーバーは大量の独立した複雑なデータベースクエリを同時に実行することを強いられ、エイリアス数に比例してデータベースの負荷が増大しました。GraphQLクエリのトークン制限は依然として存在していましたが、それでも十分なエイリアス数が許されており、リレーションの深さ制限はエイリアスごとに適用され、実行される総数を減らすことはありませんでした。レート制限はデフォルトで無効になっていたため、組み込みのスロットル機能がなく、CPU、メモリ、I/Oの枯渇を引き起こし、サービスのパフォーマンス低下やクラッシュを招く可能性がありました。この状態は、最小限の読み取り専用権限を持つユーザーを含む認証されたすべてのユーザーが引き起こすことができました。この脆弱性はバージョン11.17.0で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 6, 2026, midnight |
| Registration Date | April 21, 2026, 10:46 a.m. |
| Last Update | April 21, 2026, 10:46 a.m. |
| CVSS3.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Monospace Inc |
| Directus 11.17.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月21日] 掲載 |
April 21, 2026, 10:46 a.m. |
| Summary | Directus is a real-time API and App dashboard for managing SQL database content. Prior to 11.17.0, Directus' GraphQL endpoints (/graphql and /graphql/system) did not deduplicate resolver invocations within a single request. An authenticated user could exploit GraphQL aliasing to repeat an expensive relational query many times in a single request, forcing the server to execute a large number of independent complex database queries concurrently, multiplying database load linearly with the number of aliases. The existing token limit on GraphQL queries still permitted enough aliases for significant resource exhaustion, while the relational depth limit applied per alias without reducing the total number executed. Rate limiting is disabled by default, meaning no built-in throttle prevented this from causing CPU, memory, and I/O exhaustion that could degrade or crash the service. Any authenticated user, including those with minimal read-only permissions, could trigger this condition. This vulnerability is fixed in 11.17.0. |
|---|---|
| Publication Date | April 7, 2026, 7:16 a.m. |
| Registration Date | April 15, 2026, 11:28 a.m. |
| Last Update | April 21, 2026, 1:34 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:monospace:directus:*:*:*:*:*:node.js:*:* | 11.17.0 | ||||