CVE-2026-47384
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.05.1 pozwala uwierzytelnionym użytkownikom z uprawnieniami do tworzenia kolumn na wstrzykiwanie SQL do punktu końcowego grupowania danych. Użytkownik może to osiągnąć, ustawiając tytuł kolumny na fragment SQL, co omija istniejącą listę dozwolonych kolumn.
Ocena ryzyka
Organizacja może być narażona na ataki SQL injection, co może prowadzić do nieautoryzowanego dostępu do danych lub ich modyfikacji. Wykorzystanie tej podatności może skutkować poważnymi konsekwencjami dla bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.05.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników oraz monitorować logi w celu wykrycia potencjalnych prób wykorzystania tej luki.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, an authenticated user with column-create permission can inject SQL into the bulk groupBy endpoint by setting a column's title to a SQL fragment. The bulk groupBy path in group-by.ts builds three database-specific knex.raw() aggregations that interpolate the request's column_name directly into the SQL string. Column lookup in data-table.service.ts matches on both the sanitized column_name field and the free-text title, so a title containing a SQL fragment bypasses the public endpoint's existing column allowlist and reaches the query builder unescaped. This vulnerability is fixed in 2026.05.1.

