CVE-2026-46549
NiskieCVSS 2.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
W NocoDB przed wersją 2026.04.1 stwierdzono podatność polegającą na tym, że token OAuth z ograniczonym zakresem (np. tylko dla MCP) dziedziczył pełne uprawnienia użytkownika we wszystkich ścieżkach. Ograniczenie granted_resources.base_id było pomijane na punktach końcowych na poziomie organizacji, które nie wypełniają req.context.base_id.
Ocena ryzyka
Atakujący z tokenem OAuth o wąskim zakresie może uzyskać nieautoryzowany dostęp do wszystkich zasobów i funkcji organizacji, co prowadzi do wycieku danych lub nieautoryzowanych działań.
Rekomendacja
Należy niezwłocznie zaktualizować NocoDB do wersji 2026.04.1 lub nowszej, która zawiera poprawkę usuwającą tę lukę.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, the OAuth token strategy attached oauth_scope and oauth_granted_resources to the request user, but the ACL middleware never consulted either. An OAuth token issued with a restricted scope (e.g. MCP-only) therefore inherited the full permissions of the underlying user across all routes; the granted_resources.base_id restriction was bypassed on org-level endpoints that don't populate req.context.base_id. This vulnerability is fixed in 2026.04.1.

