Katalog CVE

CVE-2026-46552

ŚrednieCVSS 5.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

NocoDB przed wersją 2026.04.1 miał lukę, która pozwalała atakującym na uzyskanie dostępu do członków bazy danych poprzez UUID sesji współdzielonej. Atakujący mógł zapraszać dowolne adresy e-mail jako prawdziwych członków bazy, co prowadziło do nieautoryzowanego dostępu.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do danych, co może prowadzić do wycieku informacji i naruszenia prywatności użytkowników.

Rekomendacja

Zaleca się aktualizację NocoDB do wersji 2026.04.1, aby usunąć tę podatność oraz przegląd polityki dostępu do sesji współdzielonych.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, shared-base sessions were granted the same base-member capabilities as authenticated viewers. Using only the shared-base UUID (xc-shared-base-id), an attacker could enumerate base members and invite an arbitrary email into the base as a real member. The invited user could then redeem the invite via the normal signup flow and retain authenticated access even after the owner revoked the shared link. Shared-base sessions were mapped to ProjectRoles.VIEWER in packages/nocodb/src/strategies/base-view.strategy/base-view.strategy.ts, and packages/nocodb/src/utils/acl.ts granted baseUserList and userInvite to that role. The shared frontend (packages/nc-gui/composables/useApi/interceptors.ts) deliberately removed auth headers in favour of the shared-base header, but the ACL middleware did not distinguish shared sessions from genuine viewers. This vulnerability is fixed in 2026.04.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS