CVE-2026-52888 in NocoBaseinformation

Résumé

par VulDB • 16/07/2026

NocoBase est une plateforme no-code/low-code alimentée par l'IA pour la création d'applications métier et de solutions enterprise. Dans les versions 2.0.59 et antérieures, NocoBase @nocobase/plugin-collection-sql utilisait la fonction checkSQL() dans packages/plugins/@nocobase/plugin-collection-sql/src/server/utils.ts avec une liste noire incomplète de mots-clés qui ne restreignait pas l'accès aux tables du catalogue système PostgreSQL telles que pg_shadow, pg_roles et pg_stat_activity. Cela permettait à un utilisateur disposant des privilèges d'administrateur (admin-role) de lire les hachages de mot de passe et les métadonnées de la base de données via la fonctionnalité SQL Collection. Cette vulnérabilité est corrigée dans la version 2.1.0-alpha.46.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

08/06/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379404

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!