CVE-2026-52888 in NocoBaseinformación

Resumen

por VulDB • 2026-07-15

NocoBase es una plataforma no-code/low-code impulsada por IA para la creación de aplicaciones empresariales y soluciones corporativas. En las versiones 2.0.59 y anteriores, NocoBase @nocobase/plugin-collection-sql utilizaba la función checkSQL() en packages/plugins/@nocobase/plugin-collection-sql/src/server/utils.ts con una lista negra incompleta de palabras clave que no restringía el acceso a tablas del catálogo del sistema PostgreSQL como pg_shadow, pg_roles y pg_stat_activity, lo que permitía a un usuario con rol de administrador leer hashes de contraseñas y metadatos de la base de datos mediante la función SQL Collection. Esta vulnerabilidad se corrige en 2.1.0-alpha.46.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-06-08

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379404

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!