CVE-2026-46552
ŚrednieCVSS 5.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 — wyżej niż 21% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.04.1 miał lukę, która pozwalała atakującym na uzyskanie dostępu do członków bazy danych poprzez UUID sesji współdzielonej. Atakujący mógł zapraszać dowolne adresy e-mail jako prawdziwych członków bazy, co prowadziło do nieautoryzowanego dostępu.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do danych, co może prowadzić do wycieku informacji i naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.04.1, aby usunąć tę podatność oraz przegląd polityki dostępu do sesji współdzielonych.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, shared-base sessions were granted the same base-member capabilities as authenticated viewers. Using only the shared-base UUID (xc-shared-base-id), an attacker could enumerate base members and invite an arbitrary email into the base as a real member. The invited user could then redeem the invite via the normal signup flow and retain authenticated access even after the owner revoked the shared link. Shared-base sessions were mapped to ProjectRoles.VIEWER in packages/nocodb/src/strategies/base-view.strategy/base-view.strategy.ts, and packages/nocodb/src/utils/acl.ts granted baseUserList and userInvite to that role. The shared frontend (packages/nc-gui/composables/useApi/interceptors.ts) deliberately removed auth headers in favour of the shared-base header, but the ACL middleware did not distinguish shared sessions from genuine viewers. This vulnerability is fixed in 2026.04.1.

