CVE-2026-52887 in NocoBasethông tin

Tóm tắt

Bởi VulDB • 15/07/2026

NocoBase là một nền tảng no-code/low-code có khả năng hỗ trợ AI để xây dựng các ứng dụng kinh doanh và giải pháp doanh nghiệp. Trước phiên bản 2.0.61, NocoBase @nocobase/plugin-notification-in-app-message đã phơi bày điểm cuối GET /api/myInAppChannels:list, trong đó giá trị filter[latestMsgReceiveTimestamp][$lt] được chèn vào chuỗi mẫu Sequelize.literal() mà không thực hiện thoát ký tự (escaping) hay ràng buộc tham số (parameter binding), cho phép một người dùng đã đăng nhập và xác thực chạy các câu lệnh PostgreSQL chồng lên nhau và có khả năng thực thi lệnh thông qua COPY ... TO PROGRAM. Lỗ hổng này đã được khắc phục trong phiên bản 2.0.61.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

08/06/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!