Katalog CVE

CVE-2026-46547

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

NocoDB przed wersją 2026.04.1 zawierał podatność na refleksyjny XSS w stronie ostrzegania przed opuszczeniem. Parametry zapytania ncRedirectUrl i ncBackUrl były używane w window.location.href oraz w powiązaniach tagów <a> bez walidacji, co umożliwiało wstrzykiwanie URI javascript:.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do wykonania złośliwego kodu JavaScript w kontekście użytkownika, co zagraża bezpieczeństwu danych i prywatności użytkowników.

Rekomendacja

Zaleca się aktualizację NocoDB do wersji 2026.04.1 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, a reflected XSS vulnerability exists in the Page Leaving Warning page. The ncRedirectUrl and ncBackUrl query parameters are used in window.location.href and <a> tag bindings without validation, allowing javascript: URI injection. This vulnerability is fixed in 2026.04.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS