Katalog CVE

CVE-2026-53926

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

NocoDB przed wersją 2026.05.1 zawierał lukę w usłudze użytkowników, gdzie funkcja revokeAllOAuthTokensByUser była pustym stubem. W wyniku tego, tokeny OAuth nie były unieważniane po zmianie, zresetowaniu lub odzyskaniu hasła przez użytkownika.

Ocena ryzyka

Atakujący mógł wykorzystać tę lukę, aby zachować ważne tokeny OAuth, co pozwalało na dostęp do konta użytkownika nawet po jego zabezpieczeniu. To stwarza ryzyko nieautoryzowanego dostępu do danych.

Rekomendacja

Zaleca się aktualizację NocoDB do wersji 2026.05.1, aby naprawić tę lukę i zapewnić, że tokeny OAuth są prawidłowo unieważniane po zmianie hasła.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, revokeAllOAuthTokensByUser in the users service is an empty stub being called from passwordChange, passwordForgot, and passwordReset. OAuth access and refresh tokens were not revoked when the user changed, reset, or recovered their password, leaving an attacker-issued OAuth grant valid after the user believed they had locked the attacker out. This vulnerability is fixed in 2026.05.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS