V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-35441
CVE
Средний

Directus - это API в реальном времени и панель управления базами данных SQL. До 11.17.0 конечные точки Directus GraphQL (/graphql и /graphq…

CVSS
6.5
Средний
EPSS
0.00
p27
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Directus - это API в реальном времени и панель управления базами данных SQL. До 11.17.0 конечные точки Directus GraphQL (/graphql и /graphql/system) не отображали вызывающие решения в рамках одного запроса. Аутентифицированный пользователь может использовать псевдоним GraphQL для повторения дорогостоящего реляционного запроса много раз в одном запросе, заставляя сервер выполнять большое количество независимых сложных запросов базы данных одновременно, умножая нагрузку на базу данных линейно с количеством псевдонимов. Существующий лимит токенов на запросах GraphQL по-прежнему допускает достаточно псевдонимов для значительного истощения ресурсов, в то время как предел глубины реля, применяемый по псевдониму, без уменьшения общего числа выполненных. Ограничение тарифов отключено по умолчанию, что означает, что никакая встроенная дроссельная заслонка не помешала этому вызвать CPU, память и истощение ввода, которые могут ухудшить или сломать службу. Любой аутентифицированный пользователь, в том числе с минимальными разрешениями только для чтения, может спровоцировать это состояние. Эта уязвимость исправлена в 11.17.0.

Теги · CWE
CWE-400
CAPEC-147
CAPEC-227
CAPEC-492
Затронутые продукты
Directus < 11.17.0
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.004 · p27
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
directus*Отслеживается
Источники данных
ANC
CVE