Katalog CVE

CVE-2026-46550

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.10%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

NocoDB przed wersją 2026.04.1 miało lukę w zabezpieczeniach dotyczącą ciasteczka refresh-token, które było ustawione z httpOnly: true, ale brakowało mu flagi secure oraz atrybutu sameSite. To umożliwiało przechwycenie ciasteczka w sieci oraz ataki CSRF na punkt końcowy odświeżania tokenów.

Ocena ryzyka

Organizacje mogą być narażone na ataki CSRF, co może prowadzić do nieautoryzowanego dostępu do funkcji odświeżania tokenów. Przechwycenie ciasteczka na niezabezpieczonym połączeniu HTTP zwiększa ryzyko wycieku danych.

Rekomendacja

Zaleca się aktualizację NocoDB do wersji 2026.04.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć wdrożenie zabezpieczeń, takich jak HTTPS oraz odpowiednie ustawienia ciasteczek.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, the refresh-token cookie was set with httpOnly: true but missing both the secure flag and the sameSite attribute. Over plain HTTP the cookie could be intercepted on the network; without sameSite, browsers attached it to cross-site POSTs, enabling CSRF against the token-refresh endpoint. This vulnerability is fixed in 2026.04.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS