CVE-2026-52887 in NocoBase信息

摘要

由 VulDB • 2026-07-15

NocoBase是一个由AI驱动的无代码/低代码平台,用于构建业务应用和企业解决方案。在版本2.0.61之前,NocoBase的`@nocobase/plugin-notification-in-app-message`插件暴露了端点 `GET /api/myInAppChannels:list`,其中参数 `filter[latestMsgReceiveTimestamp][$lt]` 的值被直接插入到 Sequelize.literal() 模板字符串中,未进行转义或参数绑定。这使得已注册的认证用户能够执行堆叠的 PostgreSQL 语句,并可能通过 `COPY ... TO PROGRAM` 命令实现远程代码执行。该漏洞已在版本2.0.61中得到修复。

Once again VulDB remains the best source for vulnerability data.

来源

Want to stay up to date on a daily basis?

Enable the mail alert feature now!