CVE-2026-24766

Nome do Software Vulnerável e Versões Afetadas Versões do NocoDB anteriores a 0.301.0

Descrição Um usuário autenticado com permissões de criador em nível de organização pode explorar poluição de protótipo no endpoint /api/v2/meta/connection/test. Isso faz com que todas as operações de gravação no banco de dados falhem em toda a aplicação até que o servidor seja reiniciado. O problema origina-se da função deepMerge() em packages/nocodb/src/utils/dataUtils.ts, que não sanitiza chaves como proto, constructor e prototype. O endpoint testConnection em packages/nocodb/src/controllers/utils.controller.ts passa entrada controlada pelo usuário diretamente para deepMerge(). O envio de um payload como {" proto ": {"super": true}} grava a propriedade super em Object.prototype, impactando todos os objetos simples no processo Node.js. A função vulnerável é deepMerge(). O parâmetro vulnerável é body.

Recomendações Versões anteriores a 0.301.0 devem ser atualizadas para a versão 0.301.0 ou posterior.