CVE-2026-41640

Name of the Vulnerable Software and Affected Versions @nocobase/database versões anteriores a 2.0.39

Description Existe um problema na função queryParentSQL() dentro do pacote principal de banco de dados, onde uma consulta CTE recursiva é construída juntando nodeIds usando concatenação de strings em vez de consultas parametrizadas. Um invasor com permissões de criação de registros em uma coleção de árvore que utilize chaves primárias do tipo string pode injetar SQL arbitrário. Isso ocorre quando uma solicitação subsequente dispara o carregamento ansioso recursivo nessa coleção. A falha permite a extração baseada em erro de informações sensíveis do banco de dados, como e-mails de usuários e hashes de senhas. Em certos ambientes, como PostgreSQL com privilégios de superusuário, isso pode potencialmente levar à execução de comandos do sistema operacional via comando COPY ... TO PROGRAM.

Recommendations Atualize o @nocobase/database para a versão 2.0.39 ou posterior. Como medida paliativa temporária, restrinja o uso de chaves primárias do tipo string em coleções de árvore ou valide os valores das chaves primárias no momento da criação do registro para rejeitar strings que contenham metacaracteres SQL.