目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-46551— NocoDB 上传漏洞导致拒绝服务

CVSS 6.5 · Medium EPSS 0.24% · P14

影响版本矩阵 1

厂商产品版本范围状态
nocodbnocodb< 2026.04.4affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-46551 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
NocoDB: Missing File Size Enforcement in Upload-by-URL Allows Denial of Service via Disk Exhaustion
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
NocoDB is software for building databases as spreadsheets. Prior to 2026.04.4, the uploadViaURL path in the v1/v2 attachment API did not enforce NC_ATTACHMENT_FIELD_SIZE against the remote content-length or against the response stream. An authenticated user (Editor+) could direct the server to download arbitrarily large files, exhausting disk space and causing denial of service. In packages/nocodb/src/services/attachments.service.ts, the HEAD probe read content-length but never compared it to NC_ATTACHMENT_FIELD_SIZE; the subsequent storageAdapter.fileCreateByUrl() performed the download without maxContentLength. This vulnerability is fixed in 2026.04.4.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
不加限制或调节的资源分配
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
nocodbnocodb < 2026.04.4 -

二、漏洞 CVE-2026-46551 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-46551 的情报信息

登录查看更多情报信息。

CVE-2026-46551 厂商安全公告 (1)

同批安全公告 · nocodb · 2026-06-23 · 共 29 条

CVE-2026-465476.1 MEDIUMNocoDB 页面离开重定向URL反射型XSS漏洞
CVE-2026-473756.0 MEDIUMNocoDB:公式 ARRAYSORT 中的 PostgreSQL 注入漏洞
CVE-2026-465525.8 MEDIUMNocoDB 共享链接访问漏洞可添加持久成员
CVE-2026-465505.4 MEDIUMNocoDB Refresh Token 缺少 Secure 和 SameSite 标志
CVE-2026-465484.3 MEDIUMNocoDB通知Webhook插件SSRF防护绕过漏洞
CVE-2026-465492.0 LOWNocoDB OAuth ACL权限绕过导致范围提升漏洞
CVE-2026-47377NocoDB hashRedirect插件哈希片段重定向漏洞
CVE-2026-46553NocoDB 上传功能绕过附件大小限制漏洞
CVE-2026-46554NocoDB API Token删除后认证缓存陈旧漏洞
CVE-2026-47385NocoDB 通过 SQLite 源文件名路径穿越漏洞
CVE-2026-47382NocoDB 数据库连接主机导致服务器端请求伪造漏洞
CVE-2026-47376NocoDB 密码重置令牌反射型 XSS 漏洞
CVE-2026-47384NocoDB 批量分组依据列标题 SQL注入漏洞
CVE-2026-47386NocoDB OAuth授权码竞态条件漏洞
CVE-2026-53929NocoDB 安全附件存储型跨站脚本漏洞
CVE-2026-47381NocoDB 跨工作区集成在连接测试中的使用
CVE-2026-47378NocoDB 公开共享视图端点隐藏列信息泄露漏洞
CVE-2026-47379NocoDB 共享视图中的明文密码比较漏洞
CVE-2026-47388NocoDB MCP附件读取缺少权限校验漏洞
CVE-2026-47387NocoDB 表单视图重定向URL存储型XSS漏洞

显示前 20 条,共 29 条。 查看全部 &rarr; →

IV. Related Vulnerabilities

V. Comments for CVE-2026-46551

暂无评论


发表评论