Vulnerabilidad en NocoDB (CVE-2023-49781)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
14/05/2024
Última modificación:
26/08/2025
Descripción
NocoDB es un software para crear bases de datos como hojas de cálculo. Antes de 0.202.9, existía una vulnerabilidad de Cross Site Scripting almacenado dentro de la funcionalidad de comentarios de celda virtual de Fórmula. El nc-gui/components/virtual-cell/Formula.vue muestra una etiqueta v-html con el valor de "urls" cuyo contenido es procesado por la función replaceUrlsWithLink(). Esta función reconoce el patrón URI::(XXX) y crea una etiqueta de hipervínculo con href=XXX. Sin embargo, deja todos los demás contenidos fuera del patrón URI::(XXX) sin cambios. Esta vulnerabilidad está solucionada en 0.202.9.
Impacto
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nocodb:nocodb:*:*:*:*:*:*:*:* | 0.202.9 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/nocodb/nocodb/commit/7f58ce3726dfec71537d8b80474a0f95a48a1574
- https://github.com/nocodb/nocodb/security/advisories/GHSA-h6r4-xvw6-jc5h
- https://github.com/nocodb/nocodb/commit/7f58ce3726dfec71537d8b80474a0f95a48a1574
- https://github.com/nocodb/nocodb/security/advisories/GHSA-h6r4-xvw6-jc5h