Katalog CVE

CVE-2026-47383

WysokieCVSS 7.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

NocoDB przed wersją 2026.05.1 pozwalał uwierzytelnionym komentatorom na przechowywanie HTML w komentarzach wierszy, co skutkowało wykonaniem skryptu podczas najeżdżania kursorem na komentarz w widoku rozszerzonym. Brak sanitizacji po stronie serwera umożliwiał wstrzykiwanie złośliwego kodu.

Ocena ryzyka

Organizacja może być narażona na ataki XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Złośliwy kod może być wykonany w kontekście przeglądarki innych użytkowników.

Rekomendacja

Zaleca się aktualizację NocoDB do wersji 2026.05.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy sanitizacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, an authenticated commenter could store HTML in row comments that executed as script when other users hovered over the comment in the expanded form view. The comment write paths persisted the raw comment body with no server-side sanitisation; the expanded-form sidebar then rendered the stored body and fed its data-tooltip attribute to Tippy with allowHTML: true. Even when the editor stripped script tags at write time, attribute-level payloads re-entered the DOM as live HTML on hover. This vulnerability is fixed in 2026.05.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS