Katalog CVE

CVE-2026-46551

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

NocoDB przed wersją 2026.04.4 miał lukę w API załączników, która pozwalała uwierzytelnionym użytkownikom na pobieranie dowolnie dużych plików, co prowadziło do wyczerpania przestrzeni dyskowej i odmowy usługi.

Ocena ryzyka

Organizacja może doświadczyć problemów z dostępnością systemu z powodu wyczerpania zasobów dyskowych, co może wpłynąć na operacje biznesowe.

Rekomendacja

Zaleca się aktualizację NocoDB do wersji 2026.04.4 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.04.4, the uploadViaURL path in the v1/v2 attachment API did not enforce NC_ATTACHMENT_FIELD_SIZE against the remote content-length or against the response stream. An authenticated user (Editor+) could direct the server to download arbitrarily large files, exhausting disk space and causing denial of service. In packages/nocodb/src/services/attachments.service.ts, the HEAD probe read content-length but never compared it to NC_ATTACHMENT_FIELD_SIZE; the subsequent storageAdapter.fileCreateByUrl() performed the download without maxContentLength. This vulnerability is fixed in 2026.04.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS