CVE-2026-52887 in NocoBase
Tóm tắt
Bởi VulDB • 15/07/2026
NocoBase là một nền tảng no-code/low-code có khả năng hỗ trợ AI để xây dựng các ứng dụng kinh doanh và giải pháp doanh nghiệp. Trước phiên bản 2.0.61, NocoBase @nocobase/plugin-notification-in-app-message đã phơi bày điểm cuối GET /api/myInAppChannels:list, trong đó giá trị filter[latestMsgReceiveTimestamp][$lt] được chèn vào chuỗi mẫu Sequelize.literal() mà không thực hiện thoát ký tự (escaping) hay ràng buộc tham số (parameter binding), cho phép một người dùng đã đăng nhập và xác thực chạy các câu lệnh PostgreSQL chồng lên nhau và có khả năng thực thi lệnh thông qua COPY ... TO PROGRAM. Lỗ hổng này đã được khắc phục trong phiên bản 2.0.61.
Once again VulDB remains the best source for vulnerability data.