製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

NocoBaseにおけるSQL インジェクションの脆弱性

タイトル	NocoBaseにおけるSQL インジェクションの脆弱性
概要	NocoBaseは、ビジネスアプリケーションやエンタープライズソリューションを構築するためのAI搭載ノーコード/ローコードプラットフォームです。バージョン2.0.39より前のコアデータベースパッケージにおいて、queryParentSQL()関数はパラメータ化されたクエリを使用せず、文字列連結でnodeIdsを結合し再帰的なCTEクエリを構築していました。nodeIds配列にはデータベースの行から読み取られた主キー値が含まれています。悪意のある文字列の主キーを持つレコードを作成できる攻撃者は、その後の任意のリクエストが該当コレクションでの再帰的イーガーロードをトリガーした際に任意のSQLをインジェクトできます。この問題はバージョン2.0.39で修正されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月7日0:00
登録日	2026年5月14日10:19
最終更新日	2026年5月14日10:19

CVSS3.0 : 重要
スコア	8.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

NocoBase

NocoBase 2.0.39 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41640	https://www.cve.org/CVERecord?id=CVE-2026-41640
National Vulnerability Database (NVD)
2	CVE-2026-41640	https://nvd.nist.gov/vuln/detail/CVE-2026-41640

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	名前	URL
GitHub
1	SQL Injection via String Concatenation in Recursive Eager Loading Advisory nocobase/nocobase GitHub	https://github.com/nocobase/nocobase/security/advisories/GHSA-4948-f92q-f432

その他

No	名前	URL
関連文書
1	fix(database): parameterize eager loading tree queries (#9133) nocobase/nocobase@202e2b8 GitHub	https://github.com/nocobase/nocobase/commit/202e2b8efe44ba90adbf1087f6f70881ff947604
2	fix(database): parameterize recursive eager loading queries by 2013xile Pull Request #9133 nocobase/nocobase GitHub	https://github.com/nocobase/nocobase/pull/9133
3	Release v2.0.39 nocobase/nocobase GitHub	https://github.com/nocobase/nocobase/releases/tag/v2.0.39

変更履歴

No	変更内容	変更日
1	[2026年05月14日] 掲載	2026年5月14日10:19

NVD脆弱性情報

CVE-2026-41640

概要	NocoBase is an AI-powered no-code/low-code platform for building business applications and enterprise solutions. Prior to version 2.0.39, the queryParentSQL() function in the core database package constructs a recursive CTE query by joining nodeIds with string concatenation instead of using parameterized queries. The nodeIds array contains primary key values read from database rows. An attacker who can create a record with a malicious string primary key can inject arbitrary SQL when any subsequent request triggers recursive eager loading on that collection. This issue has been patched in version 2.0.39.
公表日	2026年5月7日13:16
登録日	2026年5月8日4:09
最終更新日	2026年5月13日1:51

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:nocobase:nocobase::::::::					2.0.39

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/nocobase/nocobase/commit/202e2b8efe44ba90adbf1087f6f70881ff947604	security-advisories@github.com
2	https://github.com/nocobase/nocobase/pull/9133	security-advisories@github.com
3	https://github.com/nocobase/nocobase/releases/tag/v2.0.39	security-advisories@github.com
4	https://github.com/nocobase/nocobase/security/advisories/GHSA-4948-f92q-f432	security-advisories@github.com
5	https://github.com/nocobase/nocobase/security/advisories/GHSA-4948-f92q-f432	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html