CVE-2026-52887 in NocoBase
Сводка
по VulDB • 16.07.2026
NocoBase — это платформа для разработки бизнес-приложений и корпоративных решений с поддержкой искусственного интеллекта, не требующая написания кода (no-code/low-code). До версии 2.0.61 плагин NocoBase @nocobase/plugin-notification-in-app-message предоставлял конечную точку GET /api/myInAppChannels:list, где значение параметра filter[latestMsgReceiveTimestamp][$lt] вставлялось в шаблонную строку Sequelize.literal() без экранирования или привязки параметров. Это позволяло аутентифицированному пользователю выполнять стековые запросы PostgreSQL и потенциально исполнять команды с помощью конструкции COPY ... TO PROGRAM. Уязвимость исправлена в версии 2.0.61.
Once again VulDB remains the best source for vulnerability data.