| Title | NocoBaseにおける複数の脆弱性 |
|---|---|
| Summary | NocoBaseは、ビジネスアプリケーションやエンタープライズソリューションを構築するためのAI搭載のノーコード/ローコードプラットフォームです。バージョン2.0.39以前では、危険なSQLキーワード(例:pg_read_file、LOAD_FILE、dblink)をブロックするcheckSQL()検証関数がcollections:createおよびsqlCollection:executeエンドポイントに適用されていましたが、sqlCollection:updateエンドポイントには適用されていませんでした。コレクション管理権限を持つ攻撃者は、無害なSQLでSQLコレクションを作成し、その後任意のSQLに更新してすべての検証を回避できました。その結果、コレクションをクエリして注入したSQLを実行し、データを漏洩させる可能性がありました。この問題はバージョン2.0.39で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 7, 2026, midnight |
| Registration Date | May 11, 2026, 10:58 a.m. |
| Last Update | May 11, 2026, 10:58 a.m. |
| CVSS3.0 : 重要 | |
| Score | 7.2 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| NocoBase |
| NocoBase 2.0.39 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月11日] 掲載 |
May 11, 2026, 10:58 a.m. |
| Summary | NocoBase is an AI-powered no-code/low-code platform for building business applications and enterprise solutions. Prior to version 2.0.39, the checkSQL() validation function that blocks dangerous SQL keywords (e.g., pg_read_file, LOAD_FILE, dblink) is applied on the collections:create and sqlCollection:execute endpoints but is entirely missing on the sqlCollection:update endpoint. An attacker with collection management permissions can create a SQL collection with benign SQL, then update it with arbitrary SQL that bypasses all validation, and query the collection to execute the injected SQL and exfiltrate data. This issue has been patched in version 2.0.39. |
|---|---|
| Publication Date | May 7, 2026, 3:16 p.m. |
| Registration Date | May 8, 2026, 4:09 a.m. |
| Last Update | May 8, 2026, 12:16 a.m. |