Vulnerability Details CVE-2025-27506
NocoDB is software for building databases as spreadsheets. The API endpoint related to the password reset function is vulnerable to Reflected Cross-Site-Scripting. The endpoint /api/v1/db/auth/password/reset/:tokenId is vulnerable to Reflected Cross-Site-Scripting. The flaw occurs due to implementation of the client-side template engine ejs, specifically on file resetPassword.ts where the template is using the insecure function “<%-“, which is rendered by the function renderPasswordReset. This vulnerability is fixed in 0.258.0.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 12.0%
CVSS Severity
CVSS v3 Score 5.4
References
- https://github.com/nocodb/nocodb/blob/ba5a191b33259d984fc92df225f7d82ede2ddb56/packages/nocodb/src/modules/auth/auth.controller.ts#L251
- https://github.com/nocodb/nocodb/blob/ba5a191b33259d984fc92df225f7d82ede2ddb56/packages/nocodb/src/modules/auth/ui/auth/resetPassword.ts#L71
- https://github.com/nocodb/nocodb/commit/ea821edb133e621e26183ae65c8ff9ee5d6f2723
- https://github.com/nocodb/nocodb/security/advisories/GHSA-wf6c-hrhf-86cw
Products affected by CVE-2025-27506
-
cpe:2.3:a:nocodb:nocodb:-
-
cpe:2.3:a:nocodb:nocodb:0.10.0
-
cpe:2.3:a:nocodb:nocodb:0.10.1
-
cpe:2.3:a:nocodb:nocodb:0.10.2
-
cpe:2.3:a:nocodb:nocodb:0.10.3
-
cpe:2.3:a:nocodb:nocodb:0.10.4
-
cpe:2.3:a:nocodb:nocodb:0.10.5
-
cpe:2.3:a:nocodb:nocodb:0.10.6
-
cpe:2.3:a:nocodb:nocodb:0.106.1
-
cpe:2.3:a:nocodb:nocodb:0.109.2
-
cpe:2.3:a:nocodb:nocodb:0.109.3
-
cpe:2.3:a:nocodb:nocodb:0.109.4
-
cpe:2.3:a:nocodb:nocodb:0.109.5
-
cpe:2.3:a:nocodb:nocodb:0.109.6
-
cpe:2.3:a:nocodb:nocodb:0.109.7
-
cpe:2.3:a:nocodb:nocodb:0.11.0
-
cpe:2.3:a:nocodb:nocodb:0.11.1
-
cpe:2.3:a:nocodb:nocodb:0.11.10
-
cpe:2.3:a:nocodb:nocodb:0.11.11
-
cpe:2.3:a:nocodb:nocodb:0.11.12
-
cpe:2.3:a:nocodb:nocodb:0.11.13
-
cpe:2.3:a:nocodb:nocodb:0.11.14
-
cpe:2.3:a:nocodb:nocodb:0.11.15
-
cpe:2.3:a:nocodb:nocodb:0.11.16
-
cpe:2.3:a:nocodb:nocodb:0.11.17
-
cpe:2.3:a:nocodb:nocodb:0.11.18
-
cpe:2.3:a:nocodb:nocodb:0.11.19
-
cpe:2.3:a:nocodb:nocodb:0.11.20
-
cpe:2.3:a:nocodb:nocodb:0.11.21
-
cpe:2.3:a:nocodb:nocodb:0.11.22
-
cpe:2.3:a:nocodb:nocodb:0.11.23
-
cpe:2.3:a:nocodb:nocodb:0.11.24
-
cpe:2.3:a:nocodb:nocodb:0.11.25
-
cpe:2.3:a:nocodb:nocodb:0.11.26
-
cpe:2.3:a:nocodb:nocodb:0.11.28
-
cpe:2.3:a:nocodb:nocodb:0.11.29
-
cpe:2.3:a:nocodb:nocodb:0.11.3
-
cpe:2.3:a:nocodb:nocodb:0.11.30
-
cpe:2.3:a:nocodb:nocodb:0.11.31
-
cpe:2.3:a:nocodb:nocodb:0.11.32
-
cpe:2.3:a:nocodb:nocodb:0.11.33
-
cpe:2.3:a:nocodb:nocodb:0.11.34
-
cpe:2.3:a:nocodb:nocodb:0.11.36
-
cpe:2.3:a:nocodb:nocodb:0.11.39
-
cpe:2.3:a:nocodb:nocodb:0.11.4
-
cpe:2.3:a:nocodb:nocodb:0.11.40
-
cpe:2.3:a:nocodb:nocodb:0.11.41
-
cpe:2.3:a:nocodb:nocodb:0.11.42
-
cpe:2.3:a:nocodb:nocodb:0.11.43
-
cpe:2.3:a:nocodb:nocodb:0.11.44
-
cpe:2.3:a:nocodb:nocodb:0.11.45
-
cpe:2.3:a:nocodb:nocodb:0.11.46
-
cpe:2.3:a:nocodb:nocodb:0.11.5
-
cpe:2.3:a:nocodb:nocodb:0.11.6
-
cpe:2.3:a:nocodb:nocodb:0.11.7
-
cpe:2.3:a:nocodb:nocodb:0.11.8
-
cpe:2.3:a:nocodb:nocodb:0.11.9
-
cpe:2.3:a:nocodb:nocodb:0.111.0
-
cpe:2.3:a:nocodb:nocodb:0.111.1
-
cpe:2.3:a:nocodb:nocodb:0.111.2
-
cpe:2.3:a:nocodb:nocodb:0.111.3
-
cpe:2.3:a:nocodb:nocodb:0.111.4
-
cpe:2.3:a:nocodb:nocodb:0.200.0
-
cpe:2.3:a:nocodb:nocodb:0.202.0
-
cpe:2.3:a:nocodb:nocodb:0.202.10
-
cpe:2.3:a:nocodb:nocodb:0.202.4
-
cpe:2.3:a:nocodb:nocodb:0.202.5
-
cpe:2.3:a:nocodb:nocodb:0.202.6
-
cpe:2.3:a:nocodb:nocodb:0.202.7
-
cpe:2.3:a:nocodb:nocodb:0.202.8
-
cpe:2.3:a:nocodb:nocodb:0.202.9
-
cpe:2.3:a:nocodb:nocodb:0.203.0
-
cpe:2.3:a:nocodb:nocodb:0.203.1
-
cpe:2.3:a:nocodb:nocodb:0.203.2
-
cpe:2.3:a:nocodb:nocodb:0.204.0
-
cpe:2.3:a:nocodb:nocodb:0.204.1
-
cpe:2.3:a:nocodb:nocodb:0.204.2
-
cpe:2.3:a:nocodb:nocodb:0.204.3
-
cpe:2.3:a:nocodb:nocodb:0.204.4
-
cpe:2.3:a:nocodb:nocodb:0.204.5
-
cpe:2.3:a:nocodb:nocodb:0.204.6
-
cpe:2.3:a:nocodb:nocodb:0.204.7
-
cpe:2.3:a:nocodb:nocodb:0.204.8
-
cpe:2.3:a:nocodb:nocodb:0.204.9
-
cpe:2.3:a:nocodb:nocodb:0.205.0
-
cpe:2.3:a:nocodb:nocodb:0.205.1
-
cpe:2.3:a:nocodb:nocodb:0.207.0
-
cpe:2.3:a:nocodb:nocodb:0.207.1
-
cpe:2.3:a:nocodb:nocodb:0.207.2
-
cpe:2.3:a:nocodb:nocodb:0.207.3
-
cpe:2.3:a:nocodb:nocodb:0.250.0
-
cpe:2.3:a:nocodb:nocodb:0.250.1
-
cpe:2.3:a:nocodb:nocodb:0.250.2
-
cpe:2.3:a:nocodb:nocodb:0.251.0
-
cpe:2.3:a:nocodb:nocodb:0.251.1
-
cpe:2.3:a:nocodb:nocodb:0.251.2
-
cpe:2.3:a:nocodb:nocodb:0.251.3
-
cpe:2.3:a:nocodb:nocodb:0.252.0
-
cpe:2.3:a:nocodb:nocodb:0.253.0
-
cpe:2.3:a:nocodb:nocodb:0.255.0
-
cpe:2.3:a:nocodb:nocodb:0.255.1
-
cpe:2.3:a:nocodb:nocodb:0.255.2
-
cpe:2.3:a:nocodb:nocodb:0.256.0
-
cpe:2.3:a:nocodb:nocodb:0.257.0
-
cpe:2.3:a:nocodb:nocodb:0.257.2
-
cpe:2.3:a:nocodb:nocodb:0.4.2
-
cpe:2.3:a:nocodb:nocodb:0.4.4
-
cpe:2.3:a:nocodb:nocodb:0.4.5
-
cpe:2.3:a:nocodb:nocodb:0.4.8
-
cpe:2.3:a:nocodb:nocodb:0.4.9
-
cpe:2.3:a:nocodb:nocodb:0.80.0
-
cpe:2.3:a:nocodb:nocodb:0.81.0
-
cpe:2.3:a:nocodb:nocodb:0.81.1
-
cpe:2.3:a:nocodb:nocodb:0.82.0
-
cpe:2.3:a:nocodb:nocodb:0.83.0
-
cpe:2.3:a:nocodb:nocodb:0.83.1
-
cpe:2.3:a:nocodb:nocodb:0.83.2
-
cpe:2.3:a:nocodb:nocodb:0.83.3
-
cpe:2.3:a:nocodb:nocodb:0.83.4
-
cpe:2.3:a:nocodb:nocodb:0.83.5
-
cpe:2.3:a:nocodb:nocodb:0.83.6
-
cpe:2.3:a:nocodb:nocodb:0.83.8
-
cpe:2.3:a:nocodb:nocodb:0.84.1
-
cpe:2.3:a:nocodb:nocodb:0.84.10
-
cpe:2.3:a:nocodb:nocodb:0.84.12
-
cpe:2.3:a:nocodb:nocodb:0.84.13
-
cpe:2.3:a:nocodb:nocodb:0.84.14
-
cpe:2.3:a:nocodb:nocodb:0.84.15
-
cpe:2.3:a:nocodb:nocodb:0.84.16
-
cpe:2.3:a:nocodb:nocodb:0.84.2
-
cpe:2.3:a:nocodb:nocodb:0.84.3
-
cpe:2.3:a:nocodb:nocodb:0.84.6
-
cpe:2.3:a:nocodb:nocodb:0.84.7
-
cpe:2.3:a:nocodb:nocodb:0.84.8
-
cpe:2.3:a:nocodb:nocodb:0.84.9
-
cpe:2.3:a:nocodb:nocodb:0.9
-
cpe:2.3:a:nocodb:nocodb:0.9.41
-
cpe:2.3:a:nocodb:nocodb:0.90.0
-
cpe:2.3:a:nocodb:nocodb:0.90.1
-
cpe:2.3:a:nocodb:nocodb:0.90.10
-
cpe:2.3:a:nocodb:nocodb:0.90.11
-
cpe:2.3:a:nocodb:nocodb:0.90.2
-
cpe:2.3:a:nocodb:nocodb:0.90.3
-
cpe:2.3:a:nocodb:nocodb:0.90.4
-
cpe:2.3:a:nocodb:nocodb:0.90.5
-
cpe:2.3:a:nocodb:nocodb:0.90.7
-
cpe:2.3:a:nocodb:nocodb:0.90.8
-
cpe:2.3:a:nocodb:nocodb:0.90.9
-
cpe:2.3:a:nocodb:nocodb:0.91.0
-
cpe:2.3:a:nocodb:nocodb:0.91.1
-
cpe:2.3:a:nocodb:nocodb:0.91.10
-
cpe:2.3:a:nocodb:nocodb:0.91.6
-
cpe:2.3:a:nocodb:nocodb:0.91.7
-
cpe:2.3:a:nocodb:nocodb:0.91.8
-
cpe:2.3:a:nocodb:nocodb:0.91.9
-
cpe:2.3:a:nocodb:nocodb:0.92.0
-
cpe:2.3:a:nocodb:nocodb:0.92.1
-
cpe:2.3:a:nocodb:nocodb:0.92.2
-
cpe:2.3:a:nocodb:nocodb:0.92.3
-
cpe:2.3:a:nocodb:nocodb:0.92.4
-
cpe:2.3:a:nocodb:nocodb:0.96.0
-
cpe:2.3:a:nocodb:nocodb:0.96.1
-
cpe:2.3:a:nocodb:nocodb:0.96.2
-
cpe:2.3:a:nocodb:nocodb:0.96.4
-
cpe:2.3:a:nocodb:nocodb:0.97.0