CVE-2026-53929
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.05.1 pozwalał na przesyłanie załączników .html lub .svg, które były renderowane w przeglądarce zamiast wymuszać pobranie. Problem wynikał z niezgodności w sposobie obsługi nagłówków odpowiedzi, co prowadziło do automatycznego renderowania tych plików.
Ocena ryzyka
Organizacje mogą być narażone na ataki typu XSS, ponieważ złośliwe załączniki mogą być renderowane w przeglądarkach użytkowników. To może prowadzić do kradzieży danych lub przejęcia sesji.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.05.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przemyśleć politykę zarządzania załącznikami w aplikacji.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, with NC_SECURE_ATTACHMENTS=true, an authenticated uploader could deliver .html or .svg attachments that the browser rendered inline from the NocoDB origin instead of forcing a download. The signed attachment handler stored response-header overrides under PascalCase keys (ResponseContentDisposition, ResponseContentType) while the controller that served the file read them under lowercase-hyphen names (response-content-disposition). The mismatch dropped the Content-Disposition: attachment header, leaving Express to auto-render .html, .svg, and similar inline. This vulnerability is fixed in 2026.05.1.

