Katalog CVE

CVE-2026-46553

NiskieCVSS 2.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

W NocoDB przed wersją 2026.04.1, funkcja przesyłania plików przez URL nie sprawdzała limitu rozmiaru pliku (NC_ATTACHMENT_FIELD_SIZE) ani dla deklarowanego nagłówka Content-Length zdalnego pliku, ani dla zdekodowanej długości URI danych. Umożliwiało to uwierzytelnionemu użytkownikowi ominięcie skonfigurowanego limitu rozmiaru pliku.

Ocena ryzyka

Atakujący może przesłać dowolnie duży plik, co może prowadzić do wyczerpania miejsca na dysku lub przepustowości sieci, a w konsekwencji do zakłócenia działania usługi.

Rekomendacja

Należy niezwłocznie zaktualizować NocoDB do wersji 2026.04.1 lub nowszej, która zawiera poprawkę wymuszającą sprawdzanie limitu rozmiaru pliku również dla przesyłania przez URL.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, the upload-by-URL path did not enforce NC_ATTACHMENT_FIELD_SIZE against either the remote file's advertised Content-Length or the decoded length of a data: URI, allowing an authenticated user to bypass the configured per-file size limit. This vulnerability is fixed in 2026.04.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS