正文

NocoDB CSV注入漏洞(CVE-2022-22121)

admin
admin V管理员 /0 评论 /17 阅读
0417
此篇文章发布距今已超过1107天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2022-22121

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-01-11
漏洞描述
NocoDb是开源Airtable替代品。将任何 MySql、PostgreSql、Sql Server、Sqlite和MariaDb转换为智能电子表格。 NocoDB的0.81.0至0.83版本存在CSV注入漏洞。低权限攻击者可利用该漏洞通过创建新表,在表格中注入载荷。
受影响系统: NocoDB NocoDB >= 0.81.0 NocoDB NocoDB <= 0.83.8
解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://nocodb.com/
参考链接
https://github.com/nocodb/nocodb/commit/079e3abe
https://www.whitesourcesoftware.com/vulnerability-database/CVE-2022-22121
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 xgenecloud nocodb * From
(including)
0.81.0 		Up to
(including)
0.83.8
阿里云评分 5.5
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 普通权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型 CWE-1236 Improper Neutralization of Formula Elements in a CSV File