CVE-2023-50717

Versões do NocoDB de 0.202.6 a 0.202.9

A vulnerabilidade permite que um invasor envie um arquivo HTML com conteúdo malicioso. Se um usuário tentar abrir esse arquivo em um navegador, scripts maliciosos podem ser executados, levando a um ataque de cross-site scripting armazenado. Isso permite que um invasor remoto execute código JavaScript no contexto do usuário que está acessando o vetor. Um invasor poderia usar isso para executar solicitações em nome de um usuário conectado ou, potencialmente, coletar informações sobre o usuário atacado exibindo um formulário malicioso.

Para as versões 0.202.6 a 0.202.9 do NocoDB, atualize para a versão 0.202.10 ou posterior, que contém um patch para a vulnerabilidade. Como solução temporária, considere restringir o upload de arquivos HTML ou desativar o recurso de upload de arquivos até que um patch seja aplicado. Evite acessar arquivos enviados de fontes não confiáveis para minimizar o risco de exploração.