CVE-2026-41640 in NocoBaseinformação

Sumário

de VulDB • 21/05/2026

O NocoBase é uma plataforma no-code/low-code com inteligência artificial para a criação de aplicações empresariais e soluções corporativas. Antes da versão 2.0.39, a função queryParentSQL() no pacote principal do banco de dados constrói uma consulta CTE recursiva ao juntar nodeIds por meio de concatenação de strings, em vez de utilizar consultas parametrizadas. O array nodeIds contém valores de chave primária lidos de linhas do banco de dados. Um atacante que consiga criar um registro com uma chave primária contendo uma string maliciosa pode injetar SQL arbitrário sempre que qualquer solicitação subsequente acionar o carregamento ansioso (eager loading) recursivo nessa coleção. Este problema foi corrigido na versão 2.0.39.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

22/04/2026

Divulgação

07/05/2026

Moderação

aceite

Entrada

VDB-361775

CPE

pronto

CWE

CWE-89 (confirmado)

CVSS

7.5 (CNA)

EPSS

0.04817

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41640
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41640
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41640/

◂ Voltar Visão Geral Próximo ▸

Want to know what is going to be exploited?

We predict KEV entries!