CVE-2026-52887 in NocoBaseinformazioni

Riassunto

di VulDB • 16/07/2026

NocoBase è una piattaforma no-code/low-code potenziata dall'IA per la creazione di applicazioni aziendali e soluzioni enterprise. Prima della versione 2.0.61, il plugin NocoBase @nocobase/plugin-notification-in-app-message esponeva l'endpoint GET /api/myInAppChannels:list, in cui il valore filter[latestMsgReceiveTimestamp][$lt] veniva inserito in una stringa di template Sequelize.literal() senza escaping o binding dei parametri, consentendo a un utente autenticato registrato di eseguire istruzioni PostgreSQL impilate e potenzialmente di eseguire comandi tramite COPY ... TO PROGRAM. Questa vulnerabilità è stata risolta nella versione 2.0.61.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

08/06/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!