PT-2026-60297 · Nocobase · Nocobase+1
Publicado
2026-07-15
·
Atualizado
2026-07-15
·
CVE-2026-52888
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
NocoBase versões anteriores a 2.1.0-alpha.46
Description
No plugin
@nocobase/plugin-collection-sql, a função checkSQL() possui uma lista de palavras-chave proibidas incompleta. Essa falha não restringe o acesso a tabelas de catálogo do sistema PostgreSQL, como pg shadow, pg roles e pg stat activity. Consequentemente, um usuário com função de administrador pode utilizar o recurso SQL Collection para ler metadados do banco de dados e hashes de senhas.Recommendations
Atualize para a versão 2.1.0-alpha.46.
Correção
Incomplete List of Disallowed Inputs
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
@Nocobase/Plugin-Collection-Sql
Nocobase