CVE-2026-41640 in NocoBase
Tóm tắt
Bởi VulDB • 21/05/2026
NocoBase là một nền tảng no-code/low-code có khả năng hỗ trợ AI, dùng để xây dựng các ứng dụng kinh doanh và giải pháp doanh nghiệp. Trước phiên bản 2.0.39, hàm queryParentSQL() trong gói cơ sở dữ liệu lõi xây dựng truy vấn CTE đệ quy bằng cách nối các nodeIds với chuỗi thay vì sử dụng các truy vấn có tham số hóa. Mảng nodeIds chứa các giá trị khóa chính được đọc từ các hàng trong cơ sở dữ liệu. Một kẻ tấn công có thể tạo một bản ghi với khóa chính là một chuỗi độc hại có thể chèn SQL tùy ý khi bất kỳ yêu cầu nào sau đó kích hoạt việc tải trước (eager loading) đệ quy trên bộ sưu tập đó. Vấn đề này đã được vá trong phiên bản 2.0.39.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.