CVE-2026-46554
NiskieCVSS 2.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W oprogramowaniu NocoDB przed wersją 2026.04.4 usunięte tokeny API nadal umożliwiały uwierzytelnianie żądań do czasu wygaśnięcia wpisu w pamięci podręcznej. Podatność wynikała z faktu, że proces usuwania tokena nie unieważniał odpowiadającego mu wpisu w cache'u autoryzacyjnym, co tworzyło okno czasowe do 3 dni, w którym usunięty token pozostawał aktywny.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do zasobów przez osoby, które weszły w posiadanie tokenów API, nawet po ich oficjalnym unieważnieniu. Okno podatności trwające do 3 dni stwarza poważne ryzyko naruszenia bezpieczeństwa danych i systemów.
Rekomendacja
Natychmiast zaktualizuj NocoDB do wersji 2026.04.4 lub nowszej. Po aktualizacji przeprowadź audyt wszystkich aktywnych tokenów API i wymuś ich rotację, aby wyeliminować ryzyko związane z potencjalnie skompromitowanymi tokenami, które mogły zostać usunięte przed aktualizacją.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.04.4, deleted API tokens continued to authenticate requests until their cache entry expired, because the auth cache was not invalidated by token value at deletion time. The API token deletion path removed the database row but did not evict the token-value keyed entry from the auth cache. The auth middleware therefore continued to accept the deleted token until the cache entry aged out, leaving a deletion-to-revocation window of up to three days. This vulnerability is fixed in 2026.04.4.

