事件经过
NocoBase 的应用内通知插件暴露了一个公开列表端点,其时间戳筛选参数直接插入到 SQL 查询中,允许未认证的盲 SQL 注入。
影响分析
NocoBase 被营销为用于构建业务/企业应用的 AI 驱动应用生成器;具有 CVSS 10.0 的未认证 SQL 注入可能导致在受影响平台上构建的任何应用的完整数据库泄露。
攻击途径
GET /api/myInAppChannels:list 端点将 filter[latestMsgReceiveTimestamp][$lt] 值直接插入到 SQL 查询中,未进行清理,使未认证的攻击者能够对底层数据库执行时间型盲 SQL 注入。
受影响系统
NocoBase @nocobase/plugin-notification-in-app-message,2.0.61 之前的版本
缓解措施
升级到 NocoBase 2.0.61 或更高版本。