漏洞  ·  2026-07-17

NocoBase AI 驱动无代码平台 — 未认证时间型 SQL 注入

漏洞High 影响GlobalCVE-2026-52887
NocoBase 的应用内通知插件暴露了一个公开列表端点,其时间戳筛选参数直接插入到 SQL 查询中,允许未认证的盲 SQL 注入。
NocoBase 被营销为用于构建业务/企业应用的 AI 驱动应用生成器;具有 CVSS 10.0 的未认证 SQL 注入可能导致在受影响平台上构建的任何应用的完整数据库泄露。
GET /api/myInAppChannels:list 端点将 filter[latestMsgReceiveTimestamp][$lt] 值直接插入到 SQL 查询中,未进行清理,使未认证的攻击者能够对底层数据库执行时间型盲 SQL 注入。
NocoBase @nocobase/plugin-notification-in-app-message,2.0.61 之前的版本
升级到 NocoBase 2.0.61 或更高版本。
NVD CVE-2026-52887NocoBase GitHub commit
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →