PT-2026-60297 · Nocobase · Nocobase+1

Publicado

2026-07-15

·

Atualizado

2026-07-15

·

CVE-2026-52888

CVSS v3.1

6.8

Média

VetorAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas NocoBase versões anteriores a 2.1.0-alpha.46
Description No plugin @nocobase/plugin-collection-sql, a função checkSQL() possui uma lista de palavras-chave proibidas incompleta. Essa falha não restringe o acesso a tabelas de catálogo do sistema PostgreSQL, como pg shadow, pg roles e pg stat activity. Consequentemente, um usuário com função de administrador pode utilizar o recurso SQL Collection para ler metadados do banco de dados e hashes de senhas.
Recommendations Atualize para a versão 2.1.0-alpha.46.

Correção

Incomplete List of Disallowed Inputs

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-52888

Produtos afetados

@Nocobase/Plugin-Collection-Sql
Nocobase