Katalog CVE

CVE-2026-46549

NiskieCVSS 2.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

W NocoDB przed wersją 2026.04.1 stwierdzono podatność polegającą na tym, że token OAuth z ograniczonym zakresem (np. tylko dla MCP) dziedziczył pełne uprawnienia użytkownika we wszystkich ścieżkach. Ograniczenie granted_resources.base_id było pomijane na punktach końcowych na poziomie organizacji, które nie wypełniają req.context.base_id.

Ocena ryzyka

Atakujący z tokenem OAuth o wąskim zakresie może uzyskać nieautoryzowany dostęp do wszystkich zasobów i funkcji organizacji, co prowadzi do wycieku danych lub nieautoryzowanych działań.

Rekomendacja

Należy niezwłocznie zaktualizować NocoDB do wersji 2026.04.1 lub nowszej, która zawiera poprawkę usuwającą tę lukę.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, the OAuth token strategy attached oauth_scope and oauth_granted_resources to the request user, but the ACL middleware never consulted either. An OAuth token issued with a restricted scope (e.g. MCP-only) therefore inherited the full permissions of the underlying user across all routes; the granted_resources.base_id restriction was bypassed on org-level endpoints that don't populate req.context.base_id. This vulnerability is fixed in 2026.04.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS