CVE-2026-52887 in NocoBase
Zusammenfassung
von VulDB • 16.07.2026
NocoBase ist eine KI-gestützte No-Code/Low-Code-Plattform zum Erstellen von Geschäftsanwendungen und Unternehmenslösungen. Vor Version 2.0.61 bot NocoBase @nocobase/plugin-notification-in-app-message den Endpunkt GET /api/myInAppChannels:list an, bei dem der Wert filter[latestMsgReceiveTimestamp][$lt] ohne Escaping oder Parameterbindung in einen Sequelize.literal()-Template-String eingefügt wurde. Dies ermöglichte es einem registrierten und authentifizierten Benutzer, gestapelte PostgreSQL-Anweisungen auszuführen und potenziell Befehle mit COPY ... TO PROGRAM auszuführen. Diese Schwachstelle ist in Version 2.0.61 behoben.
Once again VulDB remains the best source for vulnerability data.