CVE-2026-52888 in NocoBase情報

要約

〜によって VulDB • 2026年07月16日

NocoBaseは、ビジネスアプリケーションやエンタープライズソリューションの構築のためのAI搭載ノーコード/ローコードプラットフォームです。バージョン2.0.59およびそれ以前のNocoBaseでは、`@nocobase/plugin-collection-sql`プラグインが `packages/plugins/@nocobase/plugin-collection-sql/src/server/utils.ts` 内の `checkSQL()`関数を使用しており、この関数は不完全なキーワードブラックリストを採用していました。これにより、`pg_shadow`、`pg_roles`、`pg_stat_activity`などのPostgreSQLシステムカタログテーブルへのアクセスが制限されず、管理者権限を持つユーザーはSQLコレクション機能を通じてパスワードハッシュやデータベースメタデータを読み取ることが可能でした。この脆弱性はバージョン2.1.0-alpha.46で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年06月08日

モデレーション

承諾済み

エントリ

VDB-379404

EPSS

0.00000

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!