Vulnerability Details CVE-2023-49781
NocoDB is software for building databases as spreadsheets. Prior to 0.202.9, a stored cross-site scripting vulnerability exists within the Formula virtual cell comments functionality. The nc-gui/components/virtual-cell/Formula.vue displays a v-html tag with the value of "urls" whose contents are processed by the function replaceUrlsWithLink(). This function recognizes the pattern URI::(XXX) and creates a hyperlink tag <a> with href=XXX. However, it leaves all the other contents outside of the pattern URI::(XXX) unchanged. This vulnerability is fixed in 0.202.9.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.01
EPSS Ranking 75.6%
CVSS Severity
CVSS v3 Score 7.3
References
- https://github.com/nocodb/nocodb/commit/7f58ce3726dfec71537d8b80474a0f95a48a1574
- https://github.com/nocodb/nocodb/security/advisories/GHSA-h6r4-xvw6-jc5h
- https://github.com/nocodb/nocodb/commit/7f58ce3726dfec71537d8b80474a0f95a48a1574
- https://github.com/nocodb/nocodb/security/advisories/GHSA-h6r4-xvw6-jc5h
Products affected by CVE-2023-49781
-
cpe:2.3:a:nocodb:nocodb:-
-
cpe:2.3:a:nocodb:nocodb:0.10.0
-
cpe:2.3:a:nocodb:nocodb:0.10.1
-
cpe:2.3:a:nocodb:nocodb:0.10.2
-
cpe:2.3:a:nocodb:nocodb:0.10.3
-
cpe:2.3:a:nocodb:nocodb:0.10.4
-
cpe:2.3:a:nocodb:nocodb:0.10.5
-
cpe:2.3:a:nocodb:nocodb:0.10.6
-
cpe:2.3:a:nocodb:nocodb:0.106.1
-
cpe:2.3:a:nocodb:nocodb:0.109.2
-
cpe:2.3:a:nocodb:nocodb:0.109.3
-
cpe:2.3:a:nocodb:nocodb:0.109.4
-
cpe:2.3:a:nocodb:nocodb:0.109.5
-
cpe:2.3:a:nocodb:nocodb:0.109.6
-
cpe:2.3:a:nocodb:nocodb:0.109.7
-
cpe:2.3:a:nocodb:nocodb:0.11.0
-
cpe:2.3:a:nocodb:nocodb:0.11.1
-
cpe:2.3:a:nocodb:nocodb:0.11.10
-
cpe:2.3:a:nocodb:nocodb:0.11.11
-
cpe:2.3:a:nocodb:nocodb:0.11.12
-
cpe:2.3:a:nocodb:nocodb:0.11.13
-
cpe:2.3:a:nocodb:nocodb:0.11.14
-
cpe:2.3:a:nocodb:nocodb:0.11.15
-
cpe:2.3:a:nocodb:nocodb:0.11.16
-
cpe:2.3:a:nocodb:nocodb:0.11.17
-
cpe:2.3:a:nocodb:nocodb:0.11.18
-
cpe:2.3:a:nocodb:nocodb:0.11.19
-
cpe:2.3:a:nocodb:nocodb:0.11.20
-
cpe:2.3:a:nocodb:nocodb:0.11.21
-
cpe:2.3:a:nocodb:nocodb:0.11.22
-
cpe:2.3:a:nocodb:nocodb:0.11.23
-
cpe:2.3:a:nocodb:nocodb:0.11.24
-
cpe:2.3:a:nocodb:nocodb:0.11.25
-
cpe:2.3:a:nocodb:nocodb:0.11.26
-
cpe:2.3:a:nocodb:nocodb:0.11.28
-
cpe:2.3:a:nocodb:nocodb:0.11.29
-
cpe:2.3:a:nocodb:nocodb:0.11.3
-
cpe:2.3:a:nocodb:nocodb:0.11.30
-
cpe:2.3:a:nocodb:nocodb:0.11.31
-
cpe:2.3:a:nocodb:nocodb:0.11.32
-
cpe:2.3:a:nocodb:nocodb:0.11.33
-
cpe:2.3:a:nocodb:nocodb:0.11.34
-
cpe:2.3:a:nocodb:nocodb:0.11.36
-
cpe:2.3:a:nocodb:nocodb:0.11.39
-
cpe:2.3:a:nocodb:nocodb:0.11.4
-
cpe:2.3:a:nocodb:nocodb:0.11.40
-
cpe:2.3:a:nocodb:nocodb:0.11.41
-
cpe:2.3:a:nocodb:nocodb:0.11.42
-
cpe:2.3:a:nocodb:nocodb:0.11.43
-
cpe:2.3:a:nocodb:nocodb:0.11.44
-
cpe:2.3:a:nocodb:nocodb:0.11.45
-
cpe:2.3:a:nocodb:nocodb:0.11.46
-
cpe:2.3:a:nocodb:nocodb:0.11.5
-
cpe:2.3:a:nocodb:nocodb:0.11.6
-
cpe:2.3:a:nocodb:nocodb:0.11.7
-
cpe:2.3:a:nocodb:nocodb:0.11.8
-
cpe:2.3:a:nocodb:nocodb:0.11.9
-
cpe:2.3:a:nocodb:nocodb:0.111.0
-
cpe:2.3:a:nocodb:nocodb:0.111.1
-
cpe:2.3:a:nocodb:nocodb:0.111.2
-
cpe:2.3:a:nocodb:nocodb:0.111.3
-
cpe:2.3:a:nocodb:nocodb:0.111.4
-
cpe:2.3:a:nocodb:nocodb:0.200.0
-
cpe:2.3:a:nocodb:nocodb:0.202.0
-
cpe:2.3:a:nocodb:nocodb:0.202.4
-
cpe:2.3:a:nocodb:nocodb:0.202.5
-
cpe:2.3:a:nocodb:nocodb:0.202.6
-
cpe:2.3:a:nocodb:nocodb:0.202.7
-
cpe:2.3:a:nocodb:nocodb:0.202.8
-
cpe:2.3:a:nocodb:nocodb:0.4.2
-
cpe:2.3:a:nocodb:nocodb:0.4.4
-
cpe:2.3:a:nocodb:nocodb:0.4.5
-
cpe:2.3:a:nocodb:nocodb:0.4.8
-
cpe:2.3:a:nocodb:nocodb:0.4.9
-
cpe:2.3:a:nocodb:nocodb:0.80.0
-
cpe:2.3:a:nocodb:nocodb:0.81.0
-
cpe:2.3:a:nocodb:nocodb:0.81.1
-
cpe:2.3:a:nocodb:nocodb:0.82.0
-
cpe:2.3:a:nocodb:nocodb:0.83.0
-
cpe:2.3:a:nocodb:nocodb:0.83.1
-
cpe:2.3:a:nocodb:nocodb:0.83.2
-
cpe:2.3:a:nocodb:nocodb:0.83.3
-
cpe:2.3:a:nocodb:nocodb:0.83.4
-
cpe:2.3:a:nocodb:nocodb:0.83.5
-
cpe:2.3:a:nocodb:nocodb:0.83.6
-
cpe:2.3:a:nocodb:nocodb:0.83.8
-
cpe:2.3:a:nocodb:nocodb:0.84.1
-
cpe:2.3:a:nocodb:nocodb:0.84.10
-
cpe:2.3:a:nocodb:nocodb:0.84.12
-
cpe:2.3:a:nocodb:nocodb:0.84.13
-
cpe:2.3:a:nocodb:nocodb:0.84.14
-
cpe:2.3:a:nocodb:nocodb:0.84.15
-
cpe:2.3:a:nocodb:nocodb:0.84.16
-
cpe:2.3:a:nocodb:nocodb:0.84.2
-
cpe:2.3:a:nocodb:nocodb:0.84.3
-
cpe:2.3:a:nocodb:nocodb:0.84.6
-
cpe:2.3:a:nocodb:nocodb:0.84.7
-
cpe:2.3:a:nocodb:nocodb:0.84.8
-
cpe:2.3:a:nocodb:nocodb:0.84.9
-
cpe:2.3:a:nocodb:nocodb:0.9
-
cpe:2.3:a:nocodb:nocodb:0.9.41
-
cpe:2.3:a:nocodb:nocodb:0.90.0
-
cpe:2.3:a:nocodb:nocodb:0.90.1
-
cpe:2.3:a:nocodb:nocodb:0.90.10
-
cpe:2.3:a:nocodb:nocodb:0.90.11
-
cpe:2.3:a:nocodb:nocodb:0.90.2
-
cpe:2.3:a:nocodb:nocodb:0.90.3
-
cpe:2.3:a:nocodb:nocodb:0.90.4
-
cpe:2.3:a:nocodb:nocodb:0.90.5
-
cpe:2.3:a:nocodb:nocodb:0.90.7
-
cpe:2.3:a:nocodb:nocodb:0.90.8
-
cpe:2.3:a:nocodb:nocodb:0.90.9
-
cpe:2.3:a:nocodb:nocodb:0.91.0
-
cpe:2.3:a:nocodb:nocodb:0.91.1
-
cpe:2.3:a:nocodb:nocodb:0.91.10
-
cpe:2.3:a:nocodb:nocodb:0.91.6
-
cpe:2.3:a:nocodb:nocodb:0.91.7
-
cpe:2.3:a:nocodb:nocodb:0.91.8
-
cpe:2.3:a:nocodb:nocodb:0.91.9
-
cpe:2.3:a:nocodb:nocodb:0.92.0
-
cpe:2.3:a:nocodb:nocodb:0.92.1
-
cpe:2.3:a:nocodb:nocodb:0.92.2
-
cpe:2.3:a:nocodb:nocodb:0.92.3
-
cpe:2.3:a:nocodb:nocodb:0.92.4
-
cpe:2.3:a:nocodb:nocodb:0.96.0
-
cpe:2.3:a:nocodb:nocodb:0.96.1
-
cpe:2.3:a:nocodb:nocodb:0.96.2
-
cpe:2.3:a:nocodb:nocodb:0.96.4
-
cpe:2.3:a:nocodb:nocodb:0.97.0