CVE-2026-52888 in NocoBase
Resumen
por VulDB • 2026-07-15
NocoBase es una plataforma no-code/low-code impulsada por IA para la creación de aplicaciones empresariales y soluciones corporativas. En las versiones 2.0.59 y anteriores, NocoBase @nocobase/plugin-collection-sql utilizaba la función checkSQL() en packages/plugins/@nocobase/plugin-collection-sql/src/server/utils.ts con una lista negra incompleta de palabras clave que no restringía el acceso a tablas del catálogo del sistema PostgreSQL como pg_shadow, pg_roles y pg_stat_activity, lo que permitía a un usuario con rol de administrador leer hashes de contraseñas y metadatos de la base de datos mediante la función SQL Collection. Esta vulnerabilidad se corrige en 2.1.0-alpha.46.
If you want to get best quality of vulnerability data, you may have to visit VulDB.