nocodb
NocoDB: Shared-view relation endpoints now enforce column visibility
Public shared-view relation endpoints (`publicMmList`, `publicHmList`, `relDataList`) now verify that the requested column's `show
NocoDB: Vulnerabilidade XSS refletido na página de redefinição de senha
A página de redefinição de senha do NocoDB tinha uma vulnerabilidade XSS refletido onde o token da URL era embutido diretamente em
NocoDB: Plugin hashRedirect rejeita URLs relativas a protocolo para evitar redirecionamento aberto
O plugin hashRedirect no lado do cliente agora rejeita URLs relativas a protocolo (iniciadas com //) para prevenir ataques de redi
NocoDB: Correção de vulnerabilidade de timing side-channel na verificação de senha de visualização compartilhada
A verificação de senha de visualização compartilhada em View.
NocoDB: Correção de vazamento de tempo na autenticação
O branch unknown-user em auth.service.ts agora executa bcrypt.compare contra um hash fixo para igualar os tempos de resposta de lo
nocodb: Escopo de permissão do endpoint testConnection corrigido
O endpoint `testConnection` agora verifica permissões no workspace da integração, rejeitando requisições com workspace diferente.
nocodb: Adicionada validação de host em validateDbConnectionHost para prevenir SSRF
Adicionado helper `validateDbConnectionHost` que resolve hostnames, analisa endereços com ipaddr.
NocoDB: Injeção SQL no endpoint bulk groupBy via título de coluna
Um usuário autenticado com permissão para criar colunas pode injetar SQL no endpoint bulk groupBy definindo o título de uma coluna
nocodb: Correção de condição de corrida no fluxo OAuth com PKCE
Corrigida uma condição de corrida na troca de tokens OAuth onde duas requisições concorrentes usando o mesmo código de autorização
NocoDB: MCP readAttachment agora verifica propriedade do arquivo
A ferramenta MCP readAttachment agora verifica a propriedade do arquivo consultando o caminho em nc_file_references e checando se
NocoDB: OAuth tokens revogados após alteração de senha
A função revokeAllOAuthTokensByUser agora revoga tokens de acesso e refresh OAuth quando um usuário altera, redefine ou recupera s
NocoDB: Stored XSS via row comments (HTML sem sanitização e Tippy allowHTML)
Vulnerabilidade de XSS armazenado em comentários de linha: HTML armazenado sem sanitização no servidor, e tooltip Tippy com allowH
NocoDB: Vulnerabilidade de XSS em redirect_url de formulários compartilhados
O manipulador de submissão de formulário compartilhado em NocoDB escreve o `redirect_url` do formulário em `window.