Apa yang terjadi
Plugin notifikasi in-app NocoBase mengekspos endpoint daftar publik yang parameter filter timestamp-nya langsung dimasukkan ke dalam kueri SQL, memungkinkan injeksi SQL buta tanpa autentikasi.
Mengapa penting
NocoBase dipasarkan sebagai pembuat aplikasi bertenaga AI yang digunakan untuk membangun aplikasi bisnis/enterprise; injeksi SQL tanpa autentikasi dengan CVSS 10.0 dapat menyebabkan kompromi database lengkap dari aplikasi apa pun yang dibangun di platform yang terpengaruh.
Vektor serangan
Endpoint GET /api/myInAppChannels:list memasukkan nilai filter[latestMsgReceiveTimestamp][$lt] ke dalam kueri SQL tanpa sanitasi, memungkinkan penyerang tanpa autentikasi melakukan injeksi SQL buta berbasis waktu terhadap database yang mendasarinya.
Sistem yang terdampak
NocoBase @nocobase/plugin-notification-in-app-message, sebelum versi 2.0.61
Mitigasi
Tingkatkan ke NocoBase 2.0.61 atau yang lebih baru.