js · nocodbAtenção
NocoDB: Injeção SQL no endpoint bulk groupBy via título de coluna
Um usuário autenticado com permissão para criar colunas pode injetar SQL no endpoint bulk groupBy definindo o título de uma coluna como um fragmento SQL.
O que mudou
Um usuário autenticado com permissão para criar colunas pode injetar SQL no endpoint bulk groupBy definindo o título de uma coluna como um fragmento SQL.
Quem isso afeta
Usuários do NocoDB com sessões autenticadas e permissões para criar ou renomear colunas.
O que fazer hoje
Revise e restrinja as permissões de criação/renomeação de colunas e aplique quaisquer patches ou soluções alternativas disponíveis.
A esteira
Coletado→
Auditado→
Redigido→
Publicado