PT-2026-60300 · Nocobase · Nocobase

Publicado

2026-07-15

·

Atualizado

2026-07-15

·

CVE-2026-55410

CVSS v3.1

6.7

Média

VetorAV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas NocoBase versões anteriores a 2.1.19
Description No componente @nocobase/plugin-backups, a aplicação restaura backups do PostgreSQL interpolando o valor database.schema do arquivo metadata.json em strings de comando de shell. Essas strings são executadas usando a função child process.exec() do Node.js. Um usuário com privilégios de gerenciamento de backup pode explorar isso ao restaurar um backup especialmente criado para executar comandos arbitrários com os privilégios do processo do servidor NocoBase.
Recommendations Atualizar para a versão 2.1.19.

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55410

Produtos afetados

Nocobase