CVE-2026-47378
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.04.1 miał podatność, która umożliwiała ujawnienie wartości z ukrytych kolumn w publicznych punktach widokowych. Użytkownicy mogli uzyskać dostęp do tych wartości poprzez różne ścieżki, takie jak grupowanie, filtrowanie i sortowanie.
Ocena ryzyka
Organizacje mogły nieświadomie ujawniać wrażliwe dane, co prowadziło do potencjalnych naruszeń prywatności i bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.04.1, aby usunąć tę podatność oraz przeglądanie konfiguracji punktów widokowych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.04.1, Public shared-view endpoints exposed values from columns that the view owner had hidden, via three independent paths: groupBy returned raw values for any column named in the request, filter and sort arrays operated on hidden columns enabling boolean-blind extraction, and the related-data list accepted arbitrary link-column IDs from other tables in the same base. This vulnerability is fixed in 2026.04.1.

