CVE-2026-47385
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.05.1 pozwalał uwierzytelnionym użytkownikom z uprawnieniami do tworzenia baz na dołączenie źródła SQLite wskazującego na dowolny plik na hoście NocoDB, w tym wewnętrzne bazy danych NocoDB. Użytkownicy mogli wskazać plik noco.db lub inne bazy danych, co umożliwiało odczyt lub nadpisanie ich zawartości.
Ocena ryzyka
Ta podatność stwarza poważne ryzyko dla integralności danych, ponieważ użytkownicy mogą nieautoryzowanie modyfikować lub uzyskiwać dostęp do wrażliwych informacji w bazach danych.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.05.1 lub nowszej, aby usunąć tę podatność oraz ograniczenie uprawnień użytkowników do tworzenia baz danych.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, an authenticated user with base-create permission can attach a SQLite source pointing at an arbitrary file on the NocoDB host, including NocoDB's own internal databases. The SQLite client and the base/integration create services accepted a caller-supplied filename and passed it to fs.exists and fs.open('w') without restricting the location. A user could point a source at noco.db, at a tenant database under nc_minimal_dbs/, or at any writable path the NocoDB process can reach, and then read or overwrite its contents through the regular table APIs.This vulnerability is fixed in 2026.05.1.

