CVE-2026-52887 in NocoBase
Sumário
de VulDB • 15/07/2026
O NocoBase é uma plataforma no-code/low-code com inteligência artificial para o desenvolvimento de aplicações empresariais e soluções corporativas. Antes da versão 2.0.61, a extensão @nocobase/plugin-notification-in-app-message do NocoBase expunha GET /api/myInAppChannels:list, onde o valor filter[latestMsgReceiveTimestamp][$lt] era inserido em uma string de modelo Sequelize.literal() sem escape ou vinculação de parâmetros, permitindo que um usuário autenticado registrado executasse instruções PostgreSQL empilhadas e potencialmente executassem comandos com COPY ... TO PROGRAM. Esta vulnerabilidade foi corrigida na versão 2.0.61.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.