CVE-2026-52887 in NocoBase情報

要約

〜によって VulDB • 2026年07月15日

NocoBaseは、ビジネスアプリケーションやエンタープライズソリューションの構築のためのAI搭載ノーコード/ローコードプラットフォームです。バージョン2.0.61より前では、`@nocobase/plugin-notification-in-app-message` プラグインが提供する `GET /api/myInAppChannels:list` エンドポイントにおいて、`filter[latestMsgReceiveTimestamp][$lt]` の値がエスケープ処理やパラメータバインドなしで Sequelize.literal() テンプレート文字列に挿入されていました。これにより、登録済み認証ユーザーはスタックされたPostgreSQLステートメントを実行し、さらに `COPY ... TO PROGRAM` を使用してコマンド実行を可能にする可能性があります。この脆弱性はバージョン2.0.61で修正されています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年06月08日

モデレーション

承諾済み

エントリ

VDB-379403

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!