CVE-2026-53926
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.05.1 zawierał lukę w usłudze użytkowników, gdzie funkcja revokeAllOAuthTokensByUser była pustym stubem. W wyniku tego, tokeny OAuth nie były unieważniane po zmianie, zresetowaniu lub odzyskaniu hasła przez użytkownika.
Ocena ryzyka
Atakujący mógł wykorzystać tę lukę, aby zachować ważne tokeny OAuth, co pozwalało na dostęp do konta użytkownika nawet po jego zabezpieczeniu. To stwarza ryzyko nieautoryzowanego dostępu do danych.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.05.1, aby naprawić tę lukę i zapewnić, że tokeny OAuth są prawidłowo unieważniane po zmianie hasła.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, revokeAllOAuthTokensByUser in the users service is an empty stub being called from passwordChange, passwordForgot, and passwordReset. OAuth access and refresh tokens were not revoked when the user changed, reset, or recovered their password, leaving an attacker-issued OAuth grant valid after the user believed they had locked the attacker out. This vulnerability is fixed in 2026.05.1.

