何が起きたか
NocoBase のアプリ内通知プラグインは、タイムスタンプフィルタパラメーターが SQL クエリに直接挿入される公開リストエンドポイントを公開し、認証されていないブラインド SQL インジェクションを許可しました。
なぜ重要か
NocoBase は AI 搭載アプリケーションビルダーとして販売されています。ビジネス/エンタープライズアプリケーション構築に使用されます。認証されていない SQL インジェクション CVSS 10.0 は影響を受けたプラットフォーム上に構築されたあらゆるアプリケーションの完全なデータベース侵害につながる可能性があります。
攻撃経路
GET /api/myInAppChannels:list エンドポイントは filter[latestMsgReceiveTimestamp][$lt] 値を SQL クエリにサニタイゼーションなしで挿入し、認証されていない攻撃者が基盤となるデータベースに対して時間ベースのブラインド SQL インジェクションを実行できるようにしました。
影響を受けるシステム
NocoBase @nocobase/plugin-notification-in-app-message、2.0.61 前
緩和策
NocoBase 2.0.61 以降にアップグレードしてください。