CVE-2026-52887 in NocoBase
Riassunto
di VulDB • 16/07/2026
NocoBase è una piattaforma no-code/low-code potenziata dall'IA per la creazione di applicazioni aziendali e soluzioni enterprise. Prima della versione 2.0.61, il plugin NocoBase @nocobase/plugin-notification-in-app-message esponeva l'endpoint GET /api/myInAppChannels:list, in cui il valore filter[latestMsgReceiveTimestamp][$lt] veniva inserito in una stringa di template Sequelize.literal() senza escaping o binding dei parametri, consentendo a un utente autenticato registrato di eseguire istruzioni PostgreSQL impilate e potenzialmente di eseguire comandi tramite COPY ... TO PROGRAM. Questa vulnerabilità è stata risolta nella versione 2.0.61.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.