NocoDB is software for building databases as spreadsheets. Prior to version 0.301.3, the password reset flow did not revoke existing refresh tokens, allowing an attacker with a previously stolen refresh token to continue minting valid JWTs after the victim resets their password. This issue has been patched in version 0.301.3.
NocoDB versions prior to 0.301.3 fail to revoke refresh tokens during password reset, allowing attackers with stolen tokens to continue accessing accounts. This authentication bypass vulnerability enables persistent unauthorized access even after victims change their passwords.
تحتوي نسخ NocoDB السابقة للإصدار 0.301.3 على ثغرة في تدفق إعادة تعيين كلمة المرور حيث لا يتم إلغاء رموز التحديث الموجودة. يمكن لمهاجم يمتلك رمز تحديث مسروق مسبقاً أن يستمر في إنشاء رموز JWT صالحة حتى بعد إعادة تعيين الضحية لكلمة المرور.
إصدارات NocoDB السابقة للإصدار 0.301.3 لا تلغي رموز التحديث أثناء إعادة تعيين كلمة المرور، مما يسمح للمهاجمين بالوصول المستمر إلى الحسابات. يمكّن هذا الثغرة الوصول غير المصرح به حتى بعد تغيير الضحايا لكلمات مرورهم.
Upgrade NocoDB to version 0.301.3 or later immediately. Revoke all active sessions and refresh tokens for all users. Implement token revocation mechanisms in password reset workflows. Monitor for suspicious token usage patterns and enforce re-authentication after password changes.
قم بترقية NocoDB إلى الإصدار 0.301.3 أو أحدث فوراً. ألغِ جميع الجلسات النشطة ورموز التحديث لجميع المستخدمين. طبّق آليات إلغاء الرموز في سير عمل إعادة تعيين كلمة المرور. راقب أنماط استخدام الرموز المريبة وفرض إعادة المصادقة بعد تغيير كلمات المرور.