製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Monospace IncのDirectusにおける複数の脆弱性

タイトル	Monospace IncのDirectusにおける複数の脆弱性
概要	Directusは、SQLデータベースの内容を管理するためのリアルタイムAPIおよびアプリダッシュボードです。バージョン11.17.0以前のDirectusのGraphQLエンドポイント（/graphqlおよび/graphql/system）は、単一リクエスト内でリゾルバー呼び出しの重複排除を行っていませんでした。認証されたユーザーはGraphQLのエイリアス機能を悪用して、高コストなリレーションクエリを単一リクエスト内で何度も繰り返し実行させることができました。これによりサーバーは大量の独立した複雑なデータベースクエリを同時に実行することを強いられ、エイリアス数に比例してデータベースの負荷が増大しました。GraphQLクエリのトークン制限は依然として存在していましたが、それでも十分なエイリアス数が許されており、リレーションの深さ制限はエイリアスごとに適用され、実行される総数を減らすことはありませんでした。レート制限はデフォルトで無効になっていたため、組み込みのスロットル機能がなく、CPU、メモリ、I/Oの枯渇を引き起こし、サービスのパフォーマンス低下やクラッシュを招く可能性がありました。この状態は、最小限の読み取り専用権限を持つユーザーを含む認証されたすべてのユーザーが引き起こすことができました。この脆弱性はバージョン11.17.0で修正されました。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月6日0:00
登録日	2026年4月21日10:46
最終更新日	2026年4月21日10:46

CVSS3.0 : 警告
スコア	6.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

Monospace Inc

Directus 11.17.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-35441	https://www.cve.org/CVERecord?id=CVE-2026-35441
National Vulnerability Database (NVD)
2	CVE-2026-35441	https://nvd.nist.gov/vuln/detail/CVE-2026-35441

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html
2	CWE-770	https://cwe.mitre.org/data/definitions/770.html

ベンダー情報

No	名前	URL
GitHub
1	GraphQL Alias Amplification Denial-of-Service Due to Missing Query Cost/Complexity Limits Advisory directus/directus GitHub	https://github.com/directus/directus/security/advisories/GHSA-ph52-67fq-75wj

変更履歴

No	変更内容	変更日
1	[2026年04月21日] 掲載	2026年4月21日10:46

NVD脆弱性情報

CVE-2026-35441

概要	Directus is a real-time API and App dashboard for managing SQL database content. Prior to 11.17.0, Directus' GraphQL endpoints (/graphql and /graphql/system) did not deduplicate resolver invocations within a single request. An authenticated user could exploit GraphQL aliasing to repeat an expensive relational query many times in a single request, forcing the server to execute a large number of independent complex database queries concurrently, multiplying database load linearly with the number of aliases. The existing token limit on GraphQL queries still permitted enough aliases for significant resource exhaustion, while the relational depth limit applied per alias without reducing the total number executed. Rate limiting is disabled by default, meaning no built-in throttle prevented this from causing CPU, memory, and I/O exhaustion that could degrade or crash the service. Any authenticated user, including those with minimal read-only permissions, could trigger this condition. This vulnerability is fixed in 11.17.0.
公表日	2026年4月7日7:16
登録日	2026年4月15日11:28
最終更新日	2026年4月21日1:34

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:monospace:directus::::::node.js::*					11.17.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/directus/directus/security/advisories/GHSA-ph52-67fq-75wj	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html
2	CWE-770	制限またはスロットリング無しのリソースの割り当て	https://cwe.mitre.org/data/definitions/770.html