Katalog CVE

CVE-2026-53931

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

NocoDB przed wersją 2026.05.1 miał podatność, która pozwalała na wykorzystanie punktu końcowego importu arkuszy kalkulacyjnych axiosRequestMake jako ogólnego proxy HTTP. Punkt ten był dostępny bez uwierzytelnienia, co umożliwiało nieautoryzowany dostęp.

Ocena ryzyka

Organizacje mogły być narażone na nieautoryzowany dostęp do danych poprzez wykorzystanie tej podatności, co mogło prowadzić do wycieku informacji lub ataków na inne usługi.

Rekomendacja

Zaleca się aktualizację NocoDB do wersji 2026.05.1 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak uwierzytelnianie dla punktów końcowych.

Oryginalny opis (angielski, źródło NVD)

NocoDB is software for building databases as spreadsheets. Prior to 2026.05.1, the spreadsheet-import endpoint axiosRequestMake could be used as a generic HTTP proxy. Before the fix it was reachable unauthenticated, and its URL-extension allowlist was a regex tested against the full URL string, so URLs whose query string ended in .csv satisfies the gate even though the underlying request is for another file. This vulnerability is fixed in 2026.05.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS