CVE-2026-47381
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.05.1 pozwalał użytkownikom w jednym obszarze roboczym na uzyskanie dostępu do integracji innego obszaru roboczego poprzez punkt końcowy testConnection, podając jego identyfikator. Problem wynikał z błędnej weryfikacji uprawnień, co umożliwiało nieautoryzowany dostęp.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do danych i integracji w różnych obszarach roboczych, co może prowadzić do wycieku informacji lub nieautoryzowanych operacji.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.05.1 lub nowszej, aby usunąć tę podatność i zabezpieczyć dostęp do integracji w obszarach roboczych.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, a user in one workspace could exercise another workspace's integration through the testConnection endpoint by supplying its ID, because the integration was fetched in a bypass scope and the caller's permission check matched any base in any workspace. This vulnerability is fixed in 2026.05.1.

