CVE-2026-53931
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
NocoDB przed wersją 2026.05.1 miał podatność, która pozwalała na wykorzystanie punktu końcowego importu arkuszy kalkulacyjnych axiosRequestMake jako ogólnego proxy HTTP. Punkt ten był dostępny bez uwierzytelnienia, co umożliwiało nieautoryzowany dostęp.
Ocena ryzyka
Organizacje mogły być narażone na nieautoryzowany dostęp do danych poprzez wykorzystanie tej podatności, co mogło prowadzić do wycieku informacji lub ataków na inne usługi.
Rekomendacja
Zaleca się aktualizację NocoDB do wersji 2026.05.1 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak uwierzytelnianie dla punktów końcowych.
Oryginalny opis (angielski, źródło NVD)
NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, the spreadsheet-import endpoint axiosRequestMake could be used as a generic HTTP proxy. Before the fix it was reachable unauthenticated, and its URL-extension allowlist was a regex tested against the full URL string, so URLs whose query string ended in .csv satisfies the gate even though the underlying request is for another file. This vulnerability is fixed in 2026.05.1.

