製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

NocoBaseにおける複数の脆弱性

タイトル	NocoBaseにおける複数の脆弱性
概要	NocoBaseは、ビジネスアプリケーションやエンタープライズソリューションを構築するためのAI搭載のノーコード/ローコードプラットフォームです。バージョン2.0.39以前では、危険なSQLキーワード（例：pg_read_file、LOAD_FILE、dblink）をブロックするcheckSQL()検証関数がcollections:createおよびsqlCollection:executeエンドポイントに適用されていましたが、sqlCollection:updateエンドポイントには適用されていませんでした。コレクション管理権限を持つ攻撃者は、無害なSQLでSQLコレクションを作成し、その後任意のSQLに更新してすべての検証を回避できました。その結果、コレクションをクエリして注入したSQLを実行し、データを漏洩させる可能性がありました。この問題はバージョン2.0.39で修正されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月7日0:00
登録日	2026年5月11日10:58
最終更新日	2026年5月11日10:58

CVSS3.0 : 重要
スコア	7.2
ベクター	CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

NocoBase

NocoBase 2.0.39 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41641	https://www.cve.org/CVERecord?id=CVE-2026-41641
National Vulnerability Database (NVD)
2	CVE-2026-41641	https://nvd.nist.gov/vuln/detail/CVE-2026-41641

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-284	https://cwe.mitre.org/data/definitions/284.html
2	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	名前	URL
GitHub
1	SQL Injection and Validation Bypass via `sqlCollection:update` Missing `checkSQL` Call Advisory nocobase/nocobase GitHub	https://github.com/nocobase/nocobase/security/advisories/GHSA-wrwh-c28m-9jjh

その他

No	名前	URL
関連文書
1	fix(collection-sql): validate sql on update (#9134) nocobase/nocobase@851aee5 GitHub	https://github.com/nocobase/nocobase/commit/851aee543efa894142e0f7be03eb55d9cec06a91
2	fix(collection-sql): validate sql on update by 2013xile Pull Request #9134 nocobase/nocobase GitHub	https://github.com/nocobase/nocobase/pull/9134
3	Release v2.0.39 nocobase/nocobase GitHub	https://github.com/nocobase/nocobase/releases/tag/v2.0.39

変更履歴

No	変更内容	変更日
1	[2026年05月11日] 掲載	2026年5月11日10:58

NVD脆弱性情報

CVE-2026-41641

概要	NocoBase is an AI-powered no-code/low-code platform for building business applications and enterprise solutions. Prior to version 2.0.39, the checkSQL() validation function that blocks dangerous SQL keywords (e.g., pg_read_file, LOAD_FILE, dblink) is applied on the collections:create and sqlCollection:execute endpoints but is entirely missing on the sqlCollection:update endpoint. An attacker with collection management permissions can create a SQL collection with benign SQL, then update it with arbitrary SQL that bypasses all validation, and query the collection to execute the injected SQL and exfiltrate data. This issue has been patched in version 2.0.39.
公表日	2026年5月7日15:16
登録日	2026年5月8日4:09
最終更新日	2026年5月8日0:16

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/nocobase/nocobase/commit/851aee543efa894142e0f7be03eb55d9cec06a91	security-advisories@github.com
2	https://github.com/nocobase/nocobase/pull/9134	security-advisories@github.com
3	https://github.com/nocobase/nocobase/releases/tag/v2.0.39	security-advisories@github.com
4	https://github.com/nocobase/nocobase/security/advisories/GHSA-wrwh-c28m-9jjh	security-advisories@github.com
5	https://github.com/nocobase/nocobase/security/advisories/GHSA-wrwh-c28m-9jjh	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html
2	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html