CVE-2026-52888 in NocoBase
Zusammenfassung
von VulDB • 15.07.2026
NocoBase ist eine KI-gestützte No-Code/Low-Code-Plattform zum Erstellen von Geschäftsanwendungen und Unternehmenslösungen. In den Versionen 2.0.59 und früher verwendete NocoBase @nocobase/plugin-collection-sql die Funktion checkSQL() in packages/plugins/@nocobase/plugin-collection-sql/src/server/utils.ts mit einer unvollständigen Blacklist für Schlüsselwörter, die PostgreSQL-Systemkatalogtabellen wie pg_shadow, pg_roles und pg_stat_activity nicht einschränkte. Dies ermöglichte es einem Benutzer mit Administratorrolle, Passwort-Hashes und Datenbankmetadaten über die SQL-Sammlungsfunktion auszulesen. Diese Schwachstelle wurde in 2.1.0-alpha.46 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.