发布日期：2026-02-12
更新日期：2026-03-31

受影响系统：

Discord Directus < 11.14.1

描述：

---

CVE(CAN) ID: CVE-2026-26185

Directus是一个用于管理SQL数据库内容的实时API和应用仪表盘。
Directus11.14.1之前版本存在可观察差异漏洞，该漏洞源于当提供无效的reset_url参数时，系统对“存在的用户”和“不存在的用户”的响应时间存在约500毫秒的差异，攻击者利用该漏洞通过测量响应时间可靠地枚举系统中的有效用户。

<**>

建议：

---

厂商补丁：

Discord
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/directus/directus/security/advisories/GHSA-jr94-gj3h-c8rf

浏览次数：83
严重程度：0（网友投票）