Katalog CVE

CVE-2026-47377

ŚrednieCVSS 5.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

NocoDB przed wersją 2026.04.1 zawierał podatność w wtyczce hashRedirect, która umożliwiała przekierowanie użytkowników na złośliwe strony. Przekierowanie następowało po sprawdzeniu, czy ścieżka zaczyna się od '/', co pozwalało na wykorzystanie URL-i względnych protokołu.

Ocena ryzyka

Organizacje mogły być narażone na ataki phishingowe oraz inne formy oszustw, gdyż użytkownicy mogli być nieświadomie przekierowywani na złośliwe strony kontrolowane przez atakujących.

Rekomendacja

Zaleca się aktualizację NocoDB do wersji 2026.04.1 lub nowszej, aby usunąć tę podatność i zabezpieczyć użytkowników przed nieautoryzowanymi przekierowaniami.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, the client-side hashRedirect plugin called window.location.replace() on a path extracted from the URL hash fragment after only checking hashPath.startsWith('/'). Protocol-relative URLs (//attacker.com/…) also satisfy that check, so a crafted link silently redirected visitors to an attacker-controlled origin. This vulnerability is fixed in 2026.04.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS