CVE-2026-52888 in NocoBase
Résumé
par VulDB • 16/07/2026
NocoBase est une plateforme no-code/low-code alimentée par l'IA pour la création d'applications métier et de solutions enterprise. Dans les versions 2.0.59 et antérieures, NocoBase @nocobase/plugin-collection-sql utilisait la fonction checkSQL() dans packages/plugins/@nocobase/plugin-collection-sql/src/server/utils.ts avec une liste noire incomplète de mots-clés qui ne restreignait pas l'accès aux tables du catalogue système PostgreSQL telles que pg_shadow, pg_roles et pg_stat_activity. Cela permettait à un utilisateur disposant des privilèges d'administrateur (admin-role) de lire les hachages de mot de passe et les métadonnées de la base de données via la fonctionnalité SQL Collection. Cette vulnérabilité est corrigée dans la version 2.1.0-alpha.46.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.