脆弱性  ·  2026-07-17

NocoBase AI 搭載 No-Code プラットフォーム — 認証されていない時間ベースの SQL インジェクション

脆弱性High 影響度GlobalCVE-2026-52887
NocoBase のアプリ内通知プラグインは、タイムスタンプフィルタパラメーターが SQL クエリに直接挿入される公開リストエンドポイントを公開し、認証されていないブラインド SQL インジェクションを許可しました。
NocoBase は AI 搭載アプリケーションビルダーとして販売されています。ビジネス/エンタープライズアプリケーション構築に使用されます。認証されていない SQL インジェクション CVSS 10.0 は影響を受けたプラットフォーム上に構築されたあらゆるアプリケーションの完全なデータベース侵害につながる可能性があります。
GET /api/myInAppChannels:list エンドポイントは filter[latestMsgReceiveTimestamp][$lt] 値を SQL クエリにサニタイゼーションなしで挿入し、認証されていない攻撃者が基盤となるデータベースに対して時間ベースのブラインド SQL インジェクションを実行できるようにしました。
NocoBase @nocobase/plugin-notification-in-app-message、2.0.61 前
NocoBase 2.0.61 以降にアップグレードしてください。
NVD CVE-2026-52887NocoBase GitHub commit
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →