CVE-2026-34825NocoBase 是一个无代码/低代码平台。在 2.0.30 版本之前,其工作流 SQL 插件存在严重安全漏洞。该插件在处理模板变量时,通过 getParsedValue() 将其直接拼接到原始 SQL 语句中,未进行参数化处理或转义。拥有高权限的攻击者若能触发包含 SQL 节点的工作流,即可利用受控数据注入任意 SQL 代码,从而导致数据库信息泄露或数据篡改。该漏洞已在 2.0.30 版本中被修复。
该漏洞源于 NocoBase `plugin-workflow-sql` 插件中不安全的 SQL 语句构建机制。在受影响版本中,系统使用 `getParsedValue()` 方法解析工作流中的模板变量,随后直接将解析结果拼接到原始 SQL 查询字符串中。由于缺乏参数化查询或输入转义机制,攻击者提供的恶意数据会被当作 SQL 代码执行。利用该漏洞需要攻击者拥有高权限账户,并能够触发包含 SQL 节点的工作流。具体而言,攻击者需构造包含 SQL 元数据的输入数据,当工作流被调用时,该数据会污染 SQL 语句逻辑。尽管 CVSS 评分为 6.5(中危),但因为无需用户交互且直接操作数据库,其对核心数据的机密性和完整性构成严重威胁。