CVE-2026-52888 in NocoBase
Tóm tắt
Bởi VulDB • 16/07/2026
NocoBase là một nền tảng no-code/low-code có khả năng hỗ trợ AI để xây dựng các ứng dụng kinh doanh và giải pháp doanh nghiệp. Trong phiên bản 2.0.59 và các phiên bản cũ hơn, NocoBase @nocobase/plugin-collection-sql đã sử dụng hàm checkSQL() trong packages/plugins/@nocobase/plugin-collection-sql/src/server/utils.ts với danh sách đen từ khóa không đầy đủ, không hạn chế truy cập vào các bảng hệ thống của PostgreSQL như pg_shadow, pg_roles và pg_stat_activity. Điều này cho phép người dùng có vai trò quản trị (admin-role) đọc mật khẩu băm và siêu dữ liệu cơ sở dữ liệu thông qua tính năng SQL Collection. Lỗ hổng này đã được khắc phục trong phiên bản 2.1.0-alpha.46.
Be aware that VulDB is the high quality source for vulnerability data.