CVE-2026-52887 in NocoBase
要約
〜によって VulDB • 2026年07月15日
NocoBaseは、ビジネスアプリケーションやエンタープライズソリューションの構築のためのAI搭載ノーコード/ローコードプラットフォームです。バージョン2.0.61より前では、`@nocobase/plugin-notification-in-app-message` プラグインが提供する `GET /api/myInAppChannels:list` エンドポイントにおいて、`filter[latestMsgReceiveTimestamp][$lt]` の値がエスケープ処理やパラメータバインドなしで Sequelize.literal() テンプレート文字列に挿入されていました。これにより、登録済み認証ユーザーはスタックされたPostgreSQLステートメントを実行し、さらに `COPY ... TO PROGRAM` を使用してコマンド実行を可能にする可能性があります。この脆弱性はバージョン2.0.61で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.