CVE-2026-41640 in NocoBaseinfo

Zusammenfassung

von VulDB • 10.05.2026

NocoBase ist eine KI-gestützte No-Code/Low-Code-Plattform zum Erstellen von Geschäftsanwendungen und Unternehmenslösungen. Vor Version 2.0.39 erstellt die Funktion queryParentSQL() im Core-Datenbankpaket eine rekursive CTE-Abfrage, indem nodeIds durch String-Konkatenation anstelle der Verwendung parametrisierter Abfragen verknüpft werden. Das nodeIds-Array enthält Primärschlüsselwerte, die aus Datenbankzeilen gelesen werden. Ein Angreifer, der einen Datensatz mit einem bösartigen Primärschlüssel-String erstellen kann, kann beliebiges SQL injizieren, wenn eine nachfolgende Anforderung das rekursive Eager-Loading für diese Sammlung auslöst. Dieses Problem wurde in Version 2.0.39 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

22.04.2026

Veröffentlichung

07.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361775

CPE

bereit

EPSS

0.04817

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41640
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41640
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41640/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!