Katalog CVE

CVE-2026-47386

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 - wyżej niż 10% wszystkich znanych CVE

Streszczenie

NocoDB przed wersją 2026.05.1 miał podatność, która pozwalała na jednoczesne wykorzystanie tego samego kodu autoryzacji OAuth do wygenerowania dwóch różnych par tokenów (access_token, refresh_token). To naruszało zasadę jednorazowego użycia, na której opiera się PKCE.

Ocena ryzyka

Organizacje mogły być narażone na nieautoryzowany dostęp do zasobów, ponieważ atakujący mógł wykorzystać tę lukę do uzyskania wielu ważnych tokenów z jednego kodu autoryzacji.

Rekomendacja

Zaleca się aktualizację NocoDB do wersji 2026.05.1 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, two concurrent token-exchange requests using the same OAuth authorization code could each mint a distinct valid (access_token, refresh_token) pair, breaking the single-use guarantee that PKCE relies on. This vulnerability is fixed in 2026.05.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS