CVE-2026-47377
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.04.1 zawierał podatność w wtyczce hashRedirect, która umożliwiała przekierowanie użytkowników na złośliwe strony. Przekierowanie następowało po sprawdzeniu, czy ścieżka zaczyna się od '/', co pozwalało na wykorzystanie URL-i względnych protokołu.
Ocena ryzyka
Organizacje mogły być narażone na ataki phishingowe oraz inne formy oszustw, gdyż użytkownicy mogli być nieświadomie przekierowywani na złośliwe strony kontrolowane przez atakujących.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.04.1 lub nowszej, aby usunąć tę podatność i zabezpieczyć użytkowników przed nieautoryzowanymi przekierowaniami.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, the client-side hashRedirect plugin called window.location.replace() on a path extracted from the URL hash fragment after only checking hashPath.startsWith('/'). Protocol-relative URLs (//attacker.com/…) also satisfy that check, so a crafted link silently redirected visitors to an attacker-controlled origin. This vulnerability is fixed in 2026.04.1.

