| タイトル | Monospace IncのDirectusにおける不正な認証に関する脆弱性 |
|---|---|
| 概要 | Directusは、SQLデータベースのコンテンツを管理するためのリアルタイムAPIおよびアプリダッシュボードです。11.16.1以前のバージョンでは、DirectusのTUS再開可能アップロードエンドポイント(/files/tus)は、基本的なファイルアップロード権限を持つ認証済みユーザーであればUUIDによって任意の既存ファイルを上書きできてしまいます。TUSコントローラーはコレクションレベルの認可チェックのみを実施し、ユーザーがdirectus_filesに対して何らかの権限を持っていることを確認するだけであり、置き換え対象となる特定ファイルに対するアイテムレベルのアクセス権を検証しません。その結果、行レベルの権限ルール(例:「ユーザーは自分のファイルのみ更新可能」)は標準のRESTアップロード経路では正しく適用されるものの、TUS経路を経由すると完全にバイパスされてしまいます。この脆弱性は11.16.1で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月6日0:00 |
| 登録日 | 2026年4月21日10:46 |
| 最終更新日 | 2026年4月21日10:46 |
| CVSS3.0 : 重要 | |
| スコア | 8.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
| Monospace Inc |
| Directus 11.16.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月21日] 掲載 |
2026年4月21日10:46 |
| 概要 | Directus is a real-time API and App dashboard for managing SQL database content. Prior to 11.16.1, Directus' TUS resumable upload endpoint (/files/tus) allows any authenticated user with basic file upload permissions to overwrite arbitrary existing files by UUID. The TUS controller performs only collection-level authorization checks, verifying the user has some permission on directus_files, but never validates item-level access to the specific file being replaced. As a result, row-level permission rules (e.g., "users can only update their own files") are completely bypassed via the TUS path while being correctly enforced on the standard REST upload path. This vulnerability is fixed in 11.16.1. |
|---|---|
| 公表日 | 2026年4月7日7:16 |
| 登録日 | 2026年4月15日11:28 |
| 最終更新日 | 2026年4月21日1:40 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:monospace:directus:*:*:*:*:*:node.js:*:* | 11.16.1 | ||||