CVE-2026-52887 in NocoBaseinfo

Zusammenfassung

von VulDB • 16.07.2026

NocoBase ist eine KI-gestützte No-Code/Low-Code-Plattform zum Erstellen von Geschäftsanwendungen und Unternehmenslösungen. Vor Version 2.0.61 bot NocoBase @nocobase/plugin-notification-in-app-message den Endpunkt GET /api/myInAppChannels:list an, bei dem der Wert filter[latestMsgReceiveTimestamp][$lt] ohne Escaping oder Parameterbindung in einen Sequelize.literal()-Template-String eingefügt wurde. Dies ermöglichte es einem registrierten und authentifizierten Benutzer, gestapelte PostgreSQL-Anweisungen auszuführen und potenziell Befehle mit COPY ... TO PROGRAM auszuführen. Diese Schwachstelle ist in Version 2.0.61 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

08.06.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379403

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!