NocoBase — это платформа без кода и с низким кодированием на базе искусственного интеллекта для создания бизнес-приложений и корпоративных решений. До версии 2.0.30 плагин NocoBase-workflow-sql заменял переменные шаблона непосредственно в необработанные строки SQL через getParsedValue() без параметризации или экранирования. Любой пользователь, который запускает рабочий процесс, содержащий узел SQL с переменными шаблона из управляемых пользователем данных, может внедрить произвольный SQL.
Эта проблема исправлена в версии 2.0.30.
Показать оригинальное описание (EN)
NocoBase is an AI-powered no-code/low-code platform for building business applications and enterprise solutions. Prior to version 2.0.30, NocoBase plugin-workflow-sql substitutes template variables directly into raw SQL strings via getParsedValue() without parameterization or escaping. Any user who triggers a workflow containing a SQL node with template variables from user-controlled data can inject arbitrary SQL. This issue has been patched in version 2.0.30.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nocobase Nocobase
cpe:2.3:a:nocobase:nocobase:*:*:*:*:*:*:*:*
|
— |
2.0.30
|