📄 Description (English)
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, user-controlled content in comments and rich text cells was rendered via v-html without sanitization, enabling stored XSS. This issue has been patched in version 0.301.3.
🤖 AI Executive Summary
NocoDB versions prior to 0.301.3 contain a stored cross-site scripting (XSS) vulnerability in comments and rich text cells due to unsanitized rendering via v-html. This allows authenticated attackers to inject malicious scripts that execute in other users' browsers, potentially leading to session hijacking, credential theft, or unauthorized data access. The vulnerability affects organizations using NocoDB for database management and collaborative spreadsheet operations.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 28, 2026 00:21
🇸🇦 Saudi Arabia Impact Assessment
Saudi organizations using NocoDB for internal database management, particularly in government agencies, financial institutions, and healthcare facilities, face elevated risk. Government entities under NCA oversight and SAMA-regulated financial institutions are most vulnerable if NocoDB is used for sensitive data management. The vulnerability could enable insider threats or compromised user accounts to distribute malware across collaborative teams. Energy sector organizations and telecommunications companies using NocoDB for operational databases are also at risk of data exfiltration and system compromise.
🏢 Affected Saudi Sectors
Government
Banking and Financial Services
Healthcare
Energy and Utilities
Telecommunications
Education
Manufacturing
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
6.2
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Identify all NocoDB instances in your environment and document their versions
2. Restrict access to NocoDB to trusted networks only using firewall rules
3. Disable or remove NocoDB instances not critical to operations
4. Implement input validation and output encoding at the application layer
Patching Guidance:
1. Upgrade to NocoDB version 0.301.3 or later immediately
2. Test the upgrade in a non-production environment first
3. Verify all comments and rich text cells render safely after patching
4. Review recent comment and cell modification logs for suspicious content
Compensating Controls (if upgrade delayed):
1. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads in POST requests
2. Enable Content Security Policy (CSP) headers to restrict script execution
3. Enforce strict input validation on all comment and cell submissions
4. Monitor and audit all user activities in NocoDB, particularly comment creation
Detection Rules:
1. Monitor for HTML/JavaScript patterns in comment fields: <script>, javascript:, onerror=, onload=
2. Alert on unusual comment modifications by service accounts or batch operations
3. Track failed sanitization attempts in application logs
4. Monitor for DOM-based XSS indicators in browser console errors
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. حدد جميع مثيلات NocoDB في بيئتك وتوثيق إصداراتها
2. قيد الوصول إلى NocoDB للشبكات الموثوقة فقط باستخدام قواعد جدار الحماية
3. عطّل أو أزل مثيلات NocoDB غير الحرجة للعمليات
4. طبّق التحقق من الإدخال وترميز الإخراج على مستوى التطبيق
إرشادات التصحيح:
1. قم بالترقية إلى إصدار NocoDB 0.301.3 أو أحدث فوراً
2. اختبر الترقية في بيئة غير الإنتاج أولاً
3. تحقق من أن جميع التعليقات وخلايا النصوص الغنية تُعرض بأمان بعد التصحيح
4. راجع سجلات التعديلات الأخيرة للتعليقات والخلايا للبحث عن محتوى مريب
الضوابط البديلة (إذا تأخر التحديث):
1. طبّق قواعد جدار تطبيقات الويب (WAF) للكشف عن حقن XSS وحجبها
2. فعّل رؤوس سياسة أمان المحتوى (CSP) لتقييد تنفيذ النصوص البرمجية
3. فرض التحقق الصارم من الإدخال على جميع تقديمات التعليقات والخلايا
4. راقب وتدقيق جميع أنشطة المستخدمين في NocoDB، خاصة إنشاء التعليقات
قواعد الكشف:
1. راقب أنماط HTML/JavaScript في حقول التعليقات: <script>، javascript:، onerror=، onload=
2. أصدر تنبيهات لتعديلات التعليقات غير العادية بواسطة حسابات الخدمة أو العمليات الجماعية
3. تتبع محاولات التنظيف الفاشلة في سجلات التطبيق
4. راقب مؤشرات XSS القائمة على DOM في أخطاء وحدة تحكم المتصفح
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.14.2.1 - Information security requirements for supplier relationships
ECC 2024 A.14.2.5 - Addressing information security in supplier agreements
ECC 2024 A.5.23 - Web application security controls
🔵 SAMA CSF
SAMA CSF 2.1 - Governance and Risk Management
SAMA CSF 3.2 - Technical Security Controls
SAMA CSF 3.2.1 - Access Control and Authentication
SAMA CSF 3.2.3 - Data Protection and Encryption
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Web application security
ISO 27001:2022 A.8.22 - Secure development policy
ISO 27001:2022 A.8.24 - Protection of development, test and acceptance environments
🟣 PCI DSS v4.0.1
PCI DSS 6.5.7 - Cross-site scripting (XSS)
PCI DSS 6.5.1 - Injection flaws
PCI DSS 6.2 - Security patches and updates
📦 Affected Products / CPE 1 entries
nocodb:nocodb