CVE-2026-34825

Name of the Vulnerable Software and Affected Versions NocoBase versões anteriores a 2.0.30

Description NocoBase é uma plataforma de no-code/low-code alimentada por IA. O componente plugin-workflow-sql, em versões até 2.0.8, substitui diretamente variáveis de modelo em strings SQL brutas usando getParsedValue() sem a devida parametrização ou escape. Isso permite que um usuário que acione um fluxo de trabalho contendo um nó SQL com variáveis de modelo derivadas de dados controlados pelo usuário injete código SQL arbitrário. A SQLInstruction em packages/plugins/@nocobase/plugin-workflow-sql/src/server/SQLInstruction.ts processa modelos SQL sem escape ou aspas. Especificamente, a função getParsedValue() executa a substituição de string de placeholders {{$context.data.fieldName}} com valores dos dados de acionamento do fluxo de trabalho. Um invasor pode explorar isso criando uma entrada maliciosa, como um apelido contendo uma carga útil de injeção SQL, para executar comandos SQL arbitrários no banco de dados. Isso pode levar ao acesso total de leitura/gravação do banco de dados, permitindo potencialmente que um invasor extraia credenciais, modifique registros ou exclua tabelas, dependendo dos privilégios do usuário do banco de dados.

Recommendations Atualize para a versão 2.0.30 ou posterior. Implemente consultas parametrizadas substituindo a substituição direta de strings por parâmetros de ligação do Sequelize. Use processor.getParsedValueAsParams() para gerar a consulta SQL e os parâmetros de ligação.