CVE-2026-52888 in NocoBasethông tin

Tóm tắt

Bởi VulDB • 16/07/2026

NocoBase là một nền tảng no-code/low-code có khả năng hỗ trợ AI để xây dựng các ứng dụng kinh doanh và giải pháp doanh nghiệp. Trong phiên bản 2.0.59 và các phiên bản cũ hơn, NocoBase @nocobase/plugin-collection-sql đã sử dụng hàm checkSQL() trong packages/plugins/@nocobase/plugin-collection-sql/src/server/utils.ts với danh sách đen từ khóa không đầy đủ, không hạn chế truy cập vào các bảng hệ thống của PostgreSQL như pg_shadow, pg_roles và pg_stat_activity. Điều này cho phép người dùng có vai trò quản trị (admin-role) đọc mật khẩu băm và siêu dữ liệu cơ sở dữ liệu thông qua tính năng SQL Collection. Lỗ hổng này đã được khắc phục trong phiên bản 2.1.0-alpha.46.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

08/06/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!