CVE-2026-47375
ŚrednieCVSS 6.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.04.1 pozwala uwierzytelnionemu użytkownikowi z uprawnieniami columnAdd na wstrzykiwanie dowolnego SQL do silnika formuł poprzez argument direction funkcji ARRAYSORT(...). Wartość ta nie jest ograniczona przez walidację formuły i jest osadzana w klauzuli ORDER BY, co prowadzi do wykonania podczas tworzenia kolumny oraz przy każdym odczycie rekordu z kolumny formuły.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do danych oraz manipulacji danymi w bazie danych, co stwarza poważne zagrożenie dla integralności i poufności informacji w organizacji.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.04.1 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu uprawnień użytkowników w systemie.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, an authenticated user with columnAdd permission on a Postgres-backed base can inject arbitrary SQL into the formula engine via the optional direction argument of ARRAYSORT(...). The value is unrestricted by formula validation and embedded into a knex.raw ORDER BY clause, executing during column creation and on every subsequent record read of the formula column. The vulnerability is specific to the Postgres mapping for ARRAYSORT in packages/nocodb/src/db/functionMappings/pg.ts. This vulnerability is fixed in 2026.04.1.

