Kerentanan  ·  2026-07-17

Platform No-Code Bertenaga AI NocoBase — Injeksi SQL Berbasis Waktu Tanpa Autentikasi

KerentananHigh dampakGlobalCVE-2026-52887
Plugin notifikasi in-app NocoBase mengekspos endpoint daftar publik yang parameter filter timestamp-nya langsung dimasukkan ke dalam kueri SQL, memungkinkan injeksi SQL buta tanpa autentikasi.
NocoBase dipasarkan sebagai pembuat aplikasi bertenaga AI yang digunakan untuk membangun aplikasi bisnis/enterprise; injeksi SQL tanpa autentikasi dengan CVSS 10.0 dapat menyebabkan kompromi database lengkap dari aplikasi apa pun yang dibangun di platform yang terpengaruh.
Endpoint GET /api/myInAppChannels:list memasukkan nilai filter[latestMsgReceiveTimestamp][$lt] ke dalam kueri SQL tanpa sanitasi, memungkinkan penyerang tanpa autentikasi melakukan injeksi SQL buta berbasis waktu terhadap database yang mendasarinya.
NocoBase @nocobase/plugin-notification-in-app-message, sebelum versi 2.0.61
Tingkatkan ke NocoBase 2.0.61 atau yang lebih baru.
NVD CVE-2026-52887NocoBase GitHub commit
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →