취약점  ·  2026-07-17

NocoBase AI 기반 노코드 플랫폼 — 인증되지 않은 시간 기반 SQL 주입

취약점High 영향도GlobalCVE-2026-52887
NocoBase의 인앱 알림 플러그인은 공개 목록 엔드포인트를 노출했으며, 타임스탬프 필터 매개변수가 SQL 쿼리에 직접 삽입되어 인증되지 않은 blind SQL 주입을 허용했습니다.
NocoBase는 비즈니스/엔터프라이즈 앱 구축에 사용되는 AI 기반 애플리케이션 빌더로 마케팅되고 있습니다. CVSS 10.0의 인증되지 않은 SQL 주입은 영향을 받는 플랫폼에 구축된 모든 애플리케이션의 완전한 데이터베이스 침해로 이어질 수 있습니다.
GET /api/myInAppChannels:list 엔드포인트는 filter[latestMsgReceiveTimestamp][$lt] 값을 sanitization 없이 SQL 쿼리에 삽입하여, 인증되지 않은 공격자가 기본 데이터베이스에 대해 시간 기반 blind SQL 주입을 수행할 수 있게 합니다.
NocoBase @nocobase/plugin-notification-in-app-message, 2.0.61 이전
NocoBase 2.0.61 이상으로 업그레이드하세요.
NVD CVE-2026-52887NocoBase GitHub commit
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →