Katalog CVE

CVE-2026-47385

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 - wyżej niż 24% wszystkich znanych CVE

Streszczenie

NocoDB przed wersją 2026.05.1 pozwalał uwierzytelnionym użytkownikom z uprawnieniami do tworzenia baz na dołączenie źródła SQLite wskazującego na dowolny plik na hoście NocoDB, w tym wewnętrzne bazy danych NocoDB. Użytkownicy mogli wskazać plik noco.db lub inne bazy danych, co umożliwiało odczyt lub nadpisanie ich zawartości.

Ocena ryzyka

Ta podatność stwarza poważne ryzyko dla integralności danych, ponieważ użytkownicy mogą nieautoryzowanie modyfikować lub uzyskiwać dostęp do wrażliwych informacji w bazach danych.

Rekomendacja

Zaleca się aktualizację NocoDB do wersji 2026.05.1 lub nowszej, aby usunąć tę podatność oraz ograniczenie uprawnień użytkowników do tworzenia baz danych.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, an authenticated user with base-create permission can attach a SQLite source pointing at an arbitrary file on the NocoDB host, including NocoDB's own internal databases. The SQLite client and the base/integration create services accepted a caller-supplied filename and passed it to fs.exists and fs.open('w') without restricting the location. A user could point a source at noco.db, at a tenant database under nc_minimal_dbs/, or at any writable path the NocoDB process can reach, and then read or overwrite its contents through the regular table APIs.This vulnerability is fixed in 2026.05.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS