Kritische RCE-Lücke in NocoBase KI-Plattform - CVE-2026-34156

Zusammenfassung

Eine kritische Sicherheitslücke in der NocoBase KI-Plattform ermöglicht authentifizierten Angreifern die Ausführung von beliebigem Code mit Rootrechten. Die Schwachstelle betrifft die fehlerhafte Behandlung des Console-Objekts in der Workflow-Skriptkomponente und erlaubt das Umgehen der Node.js-Sandbox. Nutzer älterer Versionen vor 2.0.28 sollten dringend auf den Patch aktualisieren, um die Risiken zu mindern.

Nocobase - Nocobase - CRITICAL - CVE-2026-34156. NocoBase, a no-code/low-code platform designed for building business applications, is susceptible to a security flaw that allows authenticated attackers to execute arbitrary code with root privileges. This vulnerability exists due to the improper handling of the console object within its Workflow Script Node, where vulnerabilities in the Node.js vm sandbox allow bypassing of the sandbox restrictions. Users of versions prior to 2.0.28 are strongly advised to upgrade to the patched version to mitigate risks associated with this vulnerability.