CVE-2026-47376
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.04.1 miał podatność w stronie resetowania hasła, która renderowała token URL bezpośrednio w literałach ciągów JavaScript. Odpowiednio skonstruowany token mógł przełamać kontekst ciągu JS i wykonać skrypt kontrolowany przez atakującego.
Ocena ryzyka
Atakujący mógł wykorzystać tę podatność, zmuszając ofiarę do kliknięcia w złośliwy link do resetowania hasła, co prowadziło do wykonania nieautoryzowanego kodu w kontekście NocoDB.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.04.1 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, the password-reset page rendered the URL token directly into a JavaScript string literal in a server-rendered EJS template. EJS <%= %> HTML-entity-encodes a fixed set of characters but does not escape single quotes or backslashes, so a crafted token could break out of the JS string context and execute attacker-controlled script in the NocoDB origin. Triggering required only that a victim follow a malicious password-reset link. This vulnerability is fixed in 2026.04.1.

