CVE-2023-49781

Versões do NocoDB anteriores à 0.202.9

Existe uma vulnerabilidade de cross-site scripting armazenada na funcionalidade de comentários da célula virtual Formula. O arquivo nc-gui/components/virtual-cell/Formula.vue exibe uma tag v-html com o valor urls, cujo conteúdo é processado pela função replaceUrlsWithLink(). Essa função reconhece o padrão URI::(XXX) e cria uma tag de hiperlink <a> com href=XXX. No entanto, ela deixa todo o restante do conteúdo fora do padrão URI::(XXX) inalterado. Isso permite que invasores criem uma tabela maliciosa com um campo de fórmula cuja carga útil seja <img src=1 onerror="javascripts maliciosos"URI::(XXX). Os invasores podem então compartilhar essa tabela com outras pessoas ativando a visualização pública, e as vítimas que abrirem o link compartilhado podem ser atacadas. A vulnerabilidade pode ser explorada para roubar as credenciais dos usuários do NocoDB que clicarem no link malicioso.

Para versões do NocoDB anteriores à 0.202.9, atualize para a versão 0.202.9 ou posterior para corrigir a vulnerabilidade de cross-site scripting armazenada. Como solução alternativa temporária, considere desativar a função replaceUrlsWithLink() ou restringir o acesso à funcionalidade de comentários da célula virtual de Fórmula até que um patch esteja disponível. Evite usar o valor urls na tag v-html até que o problema seja resolvido.