CVE-2026-52887 in NocoBaseinformación

Resumen

por VulDB • 2026-07-15

NocoBase es una plataforma no-code/low-code impulsada por IA para la creación de aplicaciones empresariales y soluciones corporativas. Antes de la versión 2.0.61, NocoBase @nocobase/plugin-notification-in-app-message exponía el endpoint GET /api/myInAppChannels:list, donde el valor filter[latestMsgReceiveTimestamp][$lt] se insertaba en una plantilla Sequelize.literal() sin escapar ni utilizar vinculación de parámetros, lo que permitía a un usuario autenticado registrado ejecutar sentaciones PostgreSQL apiladas y potencialmente ejecutar comandos mediante COPY ... TO PROGRAM. Esta vulnerabilidad está corregida en la versión 2.0.61.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-06-08

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379403

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!