CVE-2026-53927
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 - wyżej niż 20% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.05.1 miał podatność w punkcie końcowym spreadsheet-fetch (axiosRequestMake), który akceptował URL-e z dozwoloną rozszerzeniem w dowolnym miejscu w ciągu. Umożliwiało to dostęp do punktu końcowego cloud-metadata za pomocą spreparowanego URL-a.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do wrażliwych danych w chmurze, co może prowadzić do wycieku informacji lub naruszenia prywatności.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.05.1 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, the spreadsheet-fetch endpoint (axiosRequestMake) accepted URLs whose path contained a permitted extension anywhere in the string, and applied a hand-rolled regex blocklist that omitted 127.0.0.0/8 and 169.254.0.0/16, allowing the cloud-metadata endpoint to be reached with a crafted URL This vulnerability is fixed in 2026.05.1.

