CVE-2026-34156

Nome do Software Vulnerável e Versões Afetadas NocoBase versões anteriores a 2.0.28

Descrição NocoBase é uma plataforma no-code/low-code alimentada por IA. Versões do NocoBase anteriores a 2.0.28 possuem uma falha de segurança que permite a um invasor autenticado alcançar a Execução Remota de Código (RCE) como root. Isso ocorre devido ao Nó de Script de Fluxo de Trabalho executar JavaScript fornecido pelo usuário dentro de um sandbox vm Node.js que expõe objetos de fluxo WritableWorkerStdio do realm host através do objeto console (console. stdout e console. stderr). Um invasor pode percorrer a cadeia de protótipos para escapar do sandbox. O objeto console vaza um construtor de Função do realm host através da travessia da cadeia de protótipos. A exploração envolve o uso do objeto console para acessar o objeto process do Node.js e, em seguida, carregar módulos como child process para executar comandos. A vulnerabilidade permite o roubo de credenciais de banco de dados, leitura/gravação arbitrária de arquivos e o estabelecimento de um shell reverso. A questão foi confirmada com um shell reverso e a capacidade de despejar informações do sistema e credenciais.

Recomendações Atualize o NocoBase para a versão 2.0.28 ou posterior.