Katalog CVE

CVE-2026-47388

NiskieCVSS 2.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność w NocoDB przed wersją 2026.05.1 umożliwiała posiadaczowi tokena MCP o niskich uprawnieniach, znającemu ścieżkę do załącznika, odczyt dowolnego pliku w udostępnionym magazynie, w tym załączników należących do innych baz i obszarów roboczych. Problem wynikał z braku weryfikacji własności pliku przez narzędzie readAttachment.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do poufnych danych przechowywanych jako załączniki w różnych bazach i obszarach roboczych, co może prowadzić do wycieku informacji.

Rekomendacja

Należy niezwłocznie zaktualizować NocoDB do wersji 2026.05.1 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, a low-privilege MCP token holder with knowledge of an attachment path could read any file in shared storage, including attachments belonging to other bases and workspaces, because the MCP readAttachment tool did not verify the file's ownership. This vulnerability is fixed in 2026.05.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS