CVE-2026-28398— NocoDB 跨站脚本漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-28398の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
NocoDB: Stored Cross-Site Scripting via Comments and Rich Text Cells
ソース: NVD (National Vulnerability Database)
脆弱性説明
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, user-controlled content in comments and rich text cells was rendered via v-html without sanitization, enabling stored XSS. This issue has been patched in version 0.301.3.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
NocoDB 跨站脚本漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
NocoDB是nocodb开源的一个 Airtable 替代品。将任何 MySql、PostgreSql、Sql Server、Sqlite 和 MariaDb 转换为智能电子表格。 NocoDB 0.301.3之前版本存在跨站脚本漏洞,该漏洞源于用户控制的评论和富文本单元格内容渲染时未进行清理,可能导致存储型跨站脚本攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-28398の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-28398のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · nocodb · 2026-03-02 · 10 CVEs total
| CVE-2026-28359 | NocoDB: Stored Cross-Site Scripting via Rich Text Field | |
| CVE-2026-28401 | NocoDB: Stored Cross-Site Scripting via Rich Text Cells | |
| CVE-2026-28358 | NocoDB: User Enumeration via Password Reset Endpoint | |
| CVE-2026-28361 | NocoDB: Missing Ownership Validation in MCP Token Operations | |
| CVE-2026-28399 | NocoDB: SQL Injection via DATEADD Formula | |
| CVE-2026-28357 | NocoDB: Stored Cross-Site Scripting via Formula Cell | |
| CVE-2026-28396 | NocoDB: Refresh Tokens Not Revoked on Password Reset | |
| CVE-2026-28360 | NocoDB: Plaintext Storage of Shared View Passwords | |
| CVE-2026-28397 | NocoDB: Stored Cross-Site Scripting via Comments |
IV. 関連脆弱性
同じ製品: nocodb
- CVE-2026-28401
NocoDB: Stored Cross-Site Scripting via Rich Text Cells - CVE-2026-28399
NocoDB: SQL Injection via DATEADD Formula - CVE-2026-28397
NocoDB: Stored Cross-Site Scripting via Comments - CVE-2026-28396
NocoDB: Refresh Tokens Not Revoked on Password Reset - CVE-2026-28361
NocoDB: Missing Ownership Validation in MCP Token Operations
同じベンダー: nocodb
- CVE-2026-28401
NocoDB: Stored Cross-Site Scripting via Rich Text Cells - CVE-2026-28399
NocoDB: SQL Injection via DATEADD Formula - CVE-2026-28397
NocoDB: Stored Cross-Site Scripting via Comments - CVE-2026-28396
NocoDB: Refresh Tokens Not Revoked on Password Reset - CVE-2026-28361
NocoDB: Missing Ownership Validation in MCP Token Operations
同じ弱点: CWE-79
- CVE-2026-8262
Devs Palace ERP Online chart-save cross site scripting - CVE-2026-8256
Devs Palace ERP Online mr-save cross site scripting - CVE-2026-8255
Devs Palace ERP Online add_new_customer cross site scripting - CVE-2026-8254
Devs Palace ERP Online sales_save cross site scripting - CVE-2026-8253
Devs Palace ERP Online purchase_save cross site scripting
V. CVE-2026-28398へのコメント
まだコメントはありません