CVE-2026-46550

Nome do Software Vulnerável e Versões Afetadas NocoDB (versões afetadas não especificadas)

Description O cookie de atualização de token (refresh-token) é configurado com httpOnly: true, mas carece da flag secure e do atributo sameSite. A ausência da flag secure permite que o cookie seja interceptado em redes HTTP simples. A falta do atributo sameSite permite que os navegadores anexem o cookie a requisições POST entre sites, facilitando ataques de Cross-Site Request Forgery (CSRF) contra o endpoint de atualização de token. Especificamente, a função setTokenCookie() em packages/nocodb/src/services/users/helpers.ts não define esses atributos. Consequentemente, o endpoint 'POST /api/v2/auth/token/refresh' lê o cookie incondicionalmente e retorna um novo JSON Web Token (JWT) sem exigir um token CSRF. Páginas maliciosas de origens cruzadas poderiam disparar a atualização do token e potencialmente capturar o novo JWT se combinado com outras vulnerabilidades, como cross-site scripting (XSS) ou redirecionamentos abertos.

Recommendations Atualize a função setTokenCookie() para incluir sameSite: 'lax' e defina a flag secure como verdadeira quando a URL da requisição começar com HTTPS. Como medida paliativa temporária, restrinja o acesso ao endpoint 'POST /api/v2/auth/token/refresh' a redes confiáveis ou garanta que a aplicação seja acessada apenas via HTTPS.