Pubblicato il 2026-07-15 · Fonte: NVD NIST
La piattaforma NocoBase, utilizzata per costruire applicazioni aziendali, presenta una vulnerabilità critica (CVE-2026-52887) che consente a un utente autenticato di eseguire istruzioni SQL annidate e potenzialmente eseguire comandi con COPY ... TO PROGRAM. Questa vulnerabilità è stata riscontrata nella versione precedente a 2.0.61 del plugin @nocobase/plugin-notification-in-app-message. La vulnerabilità è classificata come CWE-89, che riguarda l'iniezione di SQL.
Un attaccante può sfruttare questa vulnerabilità per eseguire comandi arbitrari sul database PostgreSQL, potenzialmente portando a violazioni dei dati o compromissione del sistema. La gravità di questa vulnerabilità è alta, con un punteggio CVSS di 10.0, il che la rende una minaccia critica per le organizzazioni che utilizzano NocoBase.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin @nocobase/plugin-notification-in-app-message alla versione 2.0.61 o successiva. Inoltre, è importante implementare le migliori pratiche di sicurezza, come l'utilizzo di parametri di bind e l'escape dei dati utente, per prevenire iniezioni di SQL. È anche raccomandato monitorare regolarmente i log di sicurezza e implementare un sistema di rilevamento delle intrusioni per rilevare eventuali attacchi.
La vulnerabilità CVE-2026-52887 è una vulnerabilità critica in NocoBase che consente a un utente autenticato di eseguire istruzioni SQL annidate e potenzialmente eseguire comandi con COPY ... TO PROGRAM.
L'impatto della vulnerabilità è critico, poiché un attaccante può eseguire comandi arbitrari sul database PostgreSQL, portando a violazioni dei dati o compromissione del sistema.
Per proteggersi da questa vulnerabilità, è necessario aggiornare il plugin @nocobase/plugin-notification-in-app-message alla versione 2.0.61 o successiva e implementare le migliori pratiche di sicurezza, come l'utilizzo di parametri di bind e l'escape dei dati utente.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.