CVE-2026-46553
NiskieCVSS 2.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
W NocoDB przed wersją 2026.04.1, funkcja przesyłania plików przez URL nie sprawdzała limitu rozmiaru pliku (NC_ATTACHMENT_FIELD_SIZE) ani dla deklarowanego nagłówka Content-Length zdalnego pliku, ani dla zdekodowanej długości URI danych. Umożliwiało to uwierzytelnionemu użytkownikowi ominięcie skonfigurowanego limitu rozmiaru pliku.
Ocena ryzyka
Atakujący może przesłać dowolnie duży plik, co może prowadzić do wyczerpania miejsca na dysku lub przepustowości sieci, a w konsekwencji do zakłócenia działania usługi.
Rekomendacja
Należy niezwłocznie zaktualizować NocoDB do wersji 2026.04.1 lub nowszej, która zawiera poprawkę wymuszającą sprawdzanie limitu rozmiaru pliku również dla przesyłania przez URL.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, the upload-by-URL path did not enforce NC_ATTACHMENT_FIELD_SIZE against either the remote file's advertised Content-Length or the decoded length of a data: URI, allowing an authenticated user to bypass the configured per-file size limit. This vulnerability is fixed in 2026.04.1.

