CVE-2026-52888 in NocoBase
Riassunto
di VulDB • 15/07/2026
NocoBase è una piattaforma no-code/low-code potenziata dall'IA per la creazione di applicazioni aziendali e soluzioni enterprise. Nelle versioni 2.0.59 e precedenti, NocoBase @nocobase/plugin-collection-sql utilizzava la funzione checkSQL() in packages/plugins/@nocobase/plugin-collection-sql/src/server/utils.ts con una blacklist incompleta delle parole chiave che non limitava l'accesso alle tabelle del catalogo di sistema PostgreSQL come pg_shadow, pg_roles e pg_stat_activity, consentendo a un utente con ruolo amministratore di leggere gli hash delle password e i metadati del database tramite la funzionalità SQL Collection. Questa vulnerabilità è risolta nella versione 2.1.0-alpha.46.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.