CVE-2026-52887 in NocoBaseИнформация

Сводка

по VulDB • 16.07.2026

NocoBase — это платформа для разработки бизнес-приложений и корпоративных решений с поддержкой искусственного интеллекта, не требующая написания кода (no-code/low-code). До версии 2.0.61 плагин NocoBase @nocobase/plugin-notification-in-app-message предоставлял конечную точку GET /api/myInAppChannels:list, где значение параметра filter[latestMsgReceiveTimestamp][$lt] вставлялось в шаблонную строку Sequelize.literal() без экранирования или привязки параметров. Это позволяло аутентифицированному пользователю выполнять стековые запросы PostgreSQL и потенциально исполнять команды с помощью конструкции COPY ... TO PROGRAM. Уязвимость исправлена в версии 2.0.61.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

08.06.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379403

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!