Katalog CVE

CVE-2026-46554

NiskieCVSS 2.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W oprogramowaniu NocoDB przed wersją 2026.04.4 usunięte tokeny API nadal umożliwiały uwierzytelnianie żądań do czasu wygaśnięcia wpisu w pamięci podręcznej. Podatność wynikała z faktu, że proces usuwania tokena nie unieważniał odpowiadającego mu wpisu w cache'u autoryzacyjnym, co tworzyło okno czasowe do 3 dni, w którym usunięty token pozostawał aktywny.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do zasobów przez osoby, które weszły w posiadanie tokenów API, nawet po ich oficjalnym unieważnieniu. Okno podatności trwające do 3 dni stwarza poważne ryzyko naruszenia bezpieczeństwa danych i systemów.

Rekomendacja

Natychmiast zaktualizuj NocoDB do wersji 2026.04.4 lub nowszej. Po aktualizacji przeprowadź audyt wszystkich aktywnych tokenów API i wymuś ich rotację, aby wyeliminować ryzyko związane z potencjalnie skompromitowanymi tokenami, które mogły zostać usunięte przed aktualizacją.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.04.4, deleted API tokens continued to authenticate requests until their cache entry expired, because the auth cache was not invalidated by token value at deletion time. The API token deletion path removed the database row but did not evict the token-value keyed entry from the auth cache. The auth middleware therefore continued to accept the deleted token until the cache entry aged out, leaving a deletion-to-revocation window of up to three days. This vulnerability is fixed in 2026.04.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS