الثغرات ›

CVE-2026-28359

متوسط

NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, an authenticated user with Editor role can inject arbitrary HTML into Rich Text cells by bypassing the TipTap edito

CWE-79 — نوع الضعف

                    نُشر: Mar 2, 2026                      ·  آخر تحديث: Mar 5, 2026                      ·  المصدر: NVD                

CVSS v3

5.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

NocoDB versions prior to 0.301.3 contain a stored cross-site scripting (XSS) vulnerability in Rich Text cells that allows authenticated Editor-role users to inject arbitrary HTML through API bypass. While requiring authentication and editor privileges, this vulnerability can lead to data exfiltration, session hijacking, and lateral movement within collaborative database environments. The lack of available patches and no public exploits present a moderate but manageable risk requiring immediate mitigation strategies.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 28, 2026 00:20

🇸🇦 التأثير على المملكة العربية السعودية

Saudi organizations using NocoDB for collaborative data management—particularly in government agencies (NCA, CITC), banking sector (SAMA-regulated institutions), healthcare systems, and energy companies—face risks of unauthorized data access and manipulation. The vulnerability is particularly concerning in multi-user environments where Editor-role users may be compromised or malicious. Government and financial institutions managing sensitive citizen data or financial records are at highest risk. The stored XSS nature means injected payloads persist and affect all users viewing the compromised cells.

🏢 القطاعات السعودية المتأثرة

Government (NCA, CITC, Ministry systems) Banking and Financial Services (SAMA-regulated) Healthcare (MOH systems, private hospitals) Energy (ARAMCO, utility companies) Telecommunications (STC, Mobily, Zain) Education (Universities, research institutions) Real Estate and Construction

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application T1598 - Phishing T1566 - Phishing T1204 - User Execution T1539 - Steal Web Session Cookie T1005 - Data from Local System T1041 - Exfiltration Over C2 Channel

⚖️ درجة المخاطر السعودية (AI)

6.2

/ 10.0

🔧 Remediation Steps (English)

Immediate Actions:

1. Identify all NocoDB instances in your environment and document their versions

2. Restrict API access to Rich Text endpoints using network-level controls and WAF rules

3. Audit all Editor-role user accounts for suspicious activity and recent API calls

4. Review audit logs for unauthorized HTML injection attempts in Rich Text cells

Patching Guidance:

1. Upgrade to NocoDB version 0.301.3 or later immediately when available

2. If upgrade is not immediately possible, implement compensating controls

Compensating Controls (if patch unavailable):

1. Implement strict input validation at the API level to reject HTML tags in Rich Text submissions

2. Deploy WAF rules to detect and block API requests containing HTML/script tags to Rich Text endpoints

3. Restrict Editor role assignments to trusted users only; conduct access reviews

4. Implement Content Security Policy (CSP) headers with strict-dynamic and script-src 'self' only

5. Enable HTML sanitization on all Rich Text cell outputs using DOMPurify or similar libraries

6. Implement database-level triggers to log all Rich Text cell modifications

Detection Rules:

1. Monitor API logs for POST/PUT requests to Rich Text endpoints containing HTML tags (<, >, script, iframe, etc.)

2. Alert on Rich Text cells containing script tags, event handlers (onclick, onload), or iframe elements

3. Track Editor role users making API calls outside normal business hours

4. Monitor for unusual patterns in Rich Text cell modifications by single users

5. Implement SIEM rules: (source=nocodb_api) AND (endpoint=*richtext*) AND (payload contains "<script" OR "<iframe" OR "javascript:")

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حدد جميع مثيلات NocoDB في بيئتك وقم بتوثيق إصداراتها

2. قيد الوصول إلى واجهة برمجة التطبيقات لنقاط نهاية النصوص الغنية باستخدام عناصر التحكم على مستوى الشبكة وقواعد WAF

3. قم بمراجعة جميع حسابات المستخدمين بدور المحرر للنشاط المريب واستدعاءات واجهة برمجة التطبيقات الأخيرة

4. راجع سجلات التدقيق لمحاولات حقن HTML غير المصرح بها في خلايا النصوص الغنية

إرشادات التصحيح:

1. قم بالترقية إلى إصدار NocoDB 0.301.3 أو أحدث فوراً عند توفره

2. إذا لم يكن الترقية ممكنة على الفور، قم بتنفيذ عناصر تحكم تعويضية

عناصر التحكم التعويضية (إذا لم يكن التصحيح متاحاً):

1. تنفيذ التحقق الصارم من المدخلات على مستوى واجهة برمجة التطبيقات لرفض علامات HTML في تقديمات النصوص الغنية

2. نشر قواعد WAF للكشف عن طلبات واجهة برمجة التطبيقات التي تحتوي على علامات HTML/script وحظرها لنقاط نهاية النصوص الغنية

3. تقييد تعيينات دور المحرر للمستخدمين الموثوقين فقط؛ إجراء مراجعات الوصول

4. تنفيذ رؤوس سياسة أمان المحتوى (CSP) مع strict-dynamic و script-src 'self' فقط

5. تنفيذ تنظيف HTML على جميع مخرجات خلايا النصوص الغنية باستخدام DOMPurify أو مكتبات مماثلة

6. تنفيذ محفزات على مستوى قاعدة البيانات لتسجيل جميع تعديلات خلايا النصوص الغنية

قواعد الكشف:

1. مراقبة سجلات واجهة برمجة التطبيقات لطلبات POST/PUT لنقاط نهاية النصوص الغنية التي تحتوي على علامات HTML

2. التنبيه على خلايا النصوص الغنية التي تحتوي على علامات script أو معالجات الأحداث أو عناصر iframe

3. تتبع مستخدمي دور المحرر الذين يقومون باستدعاءات واجهة برمجة التطبيقات خارج ساعات العمل العادية

4. مراقبة الأنماط غير العادية في تعديلات خلايا النصوص الغنية من قبل مستخدمين واحدين

5. تنفيذ قواعد SIEM: (source=nocodb_api) AND (endpoint=*richtext*) AND (payload contains "<script" OR "<iframe" OR "javascript:")

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.14.2.1 - Information security requirements for supplier relationships ECC 2024 A.5.1.1 - Policies for information security ECC 2024 A.14.2.5 - Addressing information security in supplier agreements ECC 2024 A.8.2.3 - User access management and segregation of duties

🔵 SAMA CSF

SAMA CSF ID.BE-1 - Business objectives and strategies SAMA CSF PR.AC-1 - Access control policy and procedures SAMA CSF PR.DS-1 - Data security and protection SAMA CSF DE.CM-1 - Detection and monitoring of anomalies

🟡 ISO 27001:2022

ISO 27001:2022 A.5.15 - Supplier relationships ISO 27001:2022 A.8.1 - User endpoint devices ISO 27001:2022 A.8.2 - Privileged access rights ISO 27001:2022 A.8.3 - Information access restriction ISO 27001:2022 A.14.2 - Supplier security

🟣 PCI DSS v4.0.1

PCI DSS 6.5.7 - Cross-site scripting (XSS) prevention PCI DSS 6.5.1 - Injection flaws prevention PCI DSS 7.1 - Limit access to system components by business need-to-know

🔗 المراجع والمصادر 2

🔗

https://github.com/nocodb/nocodb/releases/tag/0.301.3

security-advisories@github.com

Product Release Notes

🔗

https://github.com/nocodb/nocodb/security/advisories/GHSA-qxwq-q265-hc44

security-advisories@github.com

Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

nocodb:nocodb

📊 CVSS Score

5.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.4

CWECWE-79

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-02

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

6.2

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-79

🏢 توجيهات البائع

🔗 https://github.com/nocodb/nocodb/security/advisories...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-28359

عرّفنا بنفسك

تسجيل الدخول مطلوب