Критична вразливість RCE в nocobase до версії 2.0.28

Виявлено критичну вразливість RCE в nocobase до версії 2.0.28. Рекомендується оновлення для захисту бізнес-додатків і серверів.
CVE-2026-34156CVSS 9.9Runtime

Критична вразливість RCE в nocobase до версії 2.0.28

Виявлено критичну вразливість RCE в nocobase до версії 2.0.28. Рекомендується оновлення для захисту бізнес-додатків і серверів.

CVSS
9.9 CRITICAL
EPSS
98.3%
Активно використовується
немає в KEV
Продукт
nocobase

Що відомо

У nocobase до версії 2.0.28 виявлено критичну вразливість, що дозволяє автентифікованому зловмиснику виконати довільний код з правами root через обхід sandbox у Workflow Script Node. Проблема пов’язана з доступом до внутрішніх потоків консолі, що відкриває шлях до ескалації привілеїв.

Бізнес-вплив

Ця вразливість дозволяє зловмиснику отримати повний контроль над сервером, де запущено nocobase, що може призвести до компрометації даних і порушення роботи бізнес-додатків. Власники інфраструктури повинні розглядати це як критичну загрозу, що потребує негайного реагування для запобігання масштабних наслідків.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно оновити nocobase до версії 2.0.28 або новішої, де ця вразливість усунена. Якщо оновлення наразі неможливе, слід обмежити доступ до Workflow Script Node, переглянути журнали на предмет підозрілої активності та мінімізувати експозицію сервісу в мережі. Також варто впровадити моніторинг та інші заходи безпеки для виявлення спроб експлуатації.

Джерела