CVE-2026-47388
NiskieCVSS 2.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Podatność w NocoDB przed wersją 2026.05.1 umożliwiała posiadaczowi tokena MCP o niskich uprawnieniach, znającemu ścieżkę do załącznika, odczyt dowolnego pliku w udostępnionym magazynie, w tym załączników należących do innych baz i obszarów roboczych. Problem wynikał z braku weryfikacji własności pliku przez narzędzie readAttachment.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do poufnych danych przechowywanych jako załączniki w różnych bazach i obszarach roboczych, co może prowadzić do wycieku informacji.
Rekomendacja
Należy niezwłocznie zaktualizować NocoDB do wersji 2026.05.1 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, a low-privilege MCP token holder with knowledge of an attachment path could read any file in shared storage, including attachments belonging to other bases and workspaces, because the MCP readAttachment tool did not verify the file's ownership. This vulnerability is fixed in 2026.05.1.

