CVE-2026-52887 in NocoBase
Resumen
por VulDB • 2026-07-15
NocoBase es una plataforma no-code/low-code impulsada por IA para la creación de aplicaciones empresariales y soluciones corporativas. Antes de la versión 2.0.61, NocoBase @nocobase/plugin-notification-in-app-message exponía el endpoint GET /api/myInAppChannels:list, donde el valor filter[latestMsgReceiveTimestamp][$lt] se insertaba en una plantilla Sequelize.literal() sin escapar ni utilizar vinculación de parámetros, lo que permitía a un usuario autenticado registrado ejecutar sentaciones PostgreSQL apiladas y potencialmente ejecutar comandos mediante COPY ... TO PROGRAM. Esta vulnerabilidad está corregida en la versión 2.0.61.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.