CVE-2026-52888 in NocoBase
요약
\~에 의해 VulDB • 2026. 07. 15.
NocoBase는 비즈니스 애플리케이션 및 엔터프라이즈 솔루션 구축을 위한 AI 기반 노코드/로우코드 플랫폼입니다. 버전 2.0.59 및 그 이전 버전에서 NocoBase의 @nocobase/plugin-collection-sql 플러그인은 packages/plugins/@nocobase/plugin-collection-sql/src/server/utils.ts에 있는 checkSQL() 함수를 사용했는데, 이 함수는 pg_shadow, pg_roles, pg_stat_activity와 같은 PostgreSQL 시스템 카탈로그 테이블을 제한하지 않는 불완전한 키워드 블랙리스트를 사용하여 관리자 권한의 사용자가 SQL Collection 기능을 통해 비밀번호 해시 및 데이터베이스 메타데이터를 읽을 수 있었습니다. 이 취약점은 2.1.0-alpha.46에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.