Vulnerability Details CVE-2026-24767
NocoDB is software for building databases as spreadsheets. Prior to version 0.301.0, a blind Server-Side Request Forgery (SSRF) vulnerability exists in the `uploadViaURL` functionality due to an unprotected `HEAD` request. While the subsequent file retrieval logic correctly enforces SSRF protections, the initial metadata request executes without validation. This allows limited outbound requests to arbitrary URLs before SSRF controls are applied. Version 0.301.0 contains a patch for the issue.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 0.7%
CVSS Severity
CVSS v3 Score 4.9
References
Products affected by CVE-2026-24767
-
cpe:2.3:a:nocodb:nocodb:-
-
cpe:2.3:a:nocodb:nocodb:0.10.0
-
cpe:2.3:a:nocodb:nocodb:0.10.1
-
cpe:2.3:a:nocodb:nocodb:0.10.2
-
cpe:2.3:a:nocodb:nocodb:0.10.3
-
cpe:2.3:a:nocodb:nocodb:0.10.4
-
cpe:2.3:a:nocodb:nocodb:0.10.5
-
cpe:2.3:a:nocodb:nocodb:0.10.6
-
cpe:2.3:a:nocodb:nocodb:0.106.1
-
cpe:2.3:a:nocodb:nocodb:0.109.2
-
cpe:2.3:a:nocodb:nocodb:0.109.3
-
cpe:2.3:a:nocodb:nocodb:0.109.4
-
cpe:2.3:a:nocodb:nocodb:0.109.5
-
cpe:2.3:a:nocodb:nocodb:0.109.6
-
cpe:2.3:a:nocodb:nocodb:0.109.7
-
cpe:2.3:a:nocodb:nocodb:0.11.0
-
cpe:2.3:a:nocodb:nocodb:0.11.1
-
cpe:2.3:a:nocodb:nocodb:0.11.10
-
cpe:2.3:a:nocodb:nocodb:0.11.11
-
cpe:2.3:a:nocodb:nocodb:0.11.12
-
cpe:2.3:a:nocodb:nocodb:0.11.13
-
cpe:2.3:a:nocodb:nocodb:0.11.14
-
cpe:2.3:a:nocodb:nocodb:0.11.15
-
cpe:2.3:a:nocodb:nocodb:0.11.16
-
cpe:2.3:a:nocodb:nocodb:0.11.17
-
cpe:2.3:a:nocodb:nocodb:0.11.18
-
cpe:2.3:a:nocodb:nocodb:0.11.19
-
cpe:2.3:a:nocodb:nocodb:0.11.20
-
cpe:2.3:a:nocodb:nocodb:0.11.21
-
cpe:2.3:a:nocodb:nocodb:0.11.22
-
cpe:2.3:a:nocodb:nocodb:0.11.23
-
cpe:2.3:a:nocodb:nocodb:0.11.24
-
cpe:2.3:a:nocodb:nocodb:0.11.25
-
cpe:2.3:a:nocodb:nocodb:0.11.26
-
cpe:2.3:a:nocodb:nocodb:0.11.28
-
cpe:2.3:a:nocodb:nocodb:0.11.29
-
cpe:2.3:a:nocodb:nocodb:0.11.3
-
cpe:2.3:a:nocodb:nocodb:0.11.30
-
cpe:2.3:a:nocodb:nocodb:0.11.31
-
cpe:2.3:a:nocodb:nocodb:0.11.32
-
cpe:2.3:a:nocodb:nocodb:0.11.33
-
cpe:2.3:a:nocodb:nocodb:0.11.34
-
cpe:2.3:a:nocodb:nocodb:0.11.36
-
cpe:2.3:a:nocodb:nocodb:0.11.39
-
cpe:2.3:a:nocodb:nocodb:0.11.4
-
cpe:2.3:a:nocodb:nocodb:0.11.40
-
cpe:2.3:a:nocodb:nocodb:0.11.41
-
cpe:2.3:a:nocodb:nocodb:0.11.42
-
cpe:2.3:a:nocodb:nocodb:0.11.43
-
cpe:2.3:a:nocodb:nocodb:0.11.44
-
cpe:2.3:a:nocodb:nocodb:0.11.45
-
cpe:2.3:a:nocodb:nocodb:0.11.46
-
cpe:2.3:a:nocodb:nocodb:0.11.5
-
cpe:2.3:a:nocodb:nocodb:0.11.6
-
cpe:2.3:a:nocodb:nocodb:0.11.7
-
cpe:2.3:a:nocodb:nocodb:0.11.8
-
cpe:2.3:a:nocodb:nocodb:0.11.9
-
cpe:2.3:a:nocodb:nocodb:0.111.0
-
cpe:2.3:a:nocodb:nocodb:0.111.1
-
cpe:2.3:a:nocodb:nocodb:0.111.2
-
cpe:2.3:a:nocodb:nocodb:0.111.3
-
cpe:2.3:a:nocodb:nocodb:0.111.4
-
cpe:2.3:a:nocodb:nocodb:0.200.0
-
cpe:2.3:a:nocodb:nocodb:0.202.0
-
cpe:2.3:a:nocodb:nocodb:0.202.10
-
cpe:2.3:a:nocodb:nocodb:0.202.4
-
cpe:2.3:a:nocodb:nocodb:0.202.5
-
cpe:2.3:a:nocodb:nocodb:0.202.6
-
cpe:2.3:a:nocodb:nocodb:0.202.7
-
cpe:2.3:a:nocodb:nocodb:0.202.8
-
cpe:2.3:a:nocodb:nocodb:0.202.9
-
cpe:2.3:a:nocodb:nocodb:0.203.0
-
cpe:2.3:a:nocodb:nocodb:0.203.1
-
cpe:2.3:a:nocodb:nocodb:0.203.2
-
cpe:2.3:a:nocodb:nocodb:0.204.0
-
cpe:2.3:a:nocodb:nocodb:0.204.1
-
cpe:2.3:a:nocodb:nocodb:0.204.2
-
cpe:2.3:a:nocodb:nocodb:0.204.3
-
cpe:2.3:a:nocodb:nocodb:0.204.4
-
cpe:2.3:a:nocodb:nocodb:0.204.5
-
cpe:2.3:a:nocodb:nocodb:0.204.6
-
cpe:2.3:a:nocodb:nocodb:0.204.7
-
cpe:2.3:a:nocodb:nocodb:0.204.8
-
cpe:2.3:a:nocodb:nocodb:0.204.9
-
cpe:2.3:a:nocodb:nocodb:0.205.0
-
cpe:2.3:a:nocodb:nocodb:0.205.1
-
cpe:2.3:a:nocodb:nocodb:0.207.0
-
cpe:2.3:a:nocodb:nocodb:0.207.1
-
cpe:2.3:a:nocodb:nocodb:0.207.2
-
cpe:2.3:a:nocodb:nocodb:0.207.3
-
cpe:2.3:a:nocodb:nocodb:0.250.0
-
cpe:2.3:a:nocodb:nocodb:0.250.1
-
cpe:2.3:a:nocodb:nocodb:0.250.2
-
cpe:2.3:a:nocodb:nocodb:0.251.0
-
cpe:2.3:a:nocodb:nocodb:0.251.1
-
cpe:2.3:a:nocodb:nocodb:0.251.2
-
cpe:2.3:a:nocodb:nocodb:0.251.3
-
cpe:2.3:a:nocodb:nocodb:0.252.0
-
cpe:2.3:a:nocodb:nocodb:0.253.0
-
cpe:2.3:a:nocodb:nocodb:0.255.0
-
cpe:2.3:a:nocodb:nocodb:0.255.1
-
cpe:2.3:a:nocodb:nocodb:0.255.2
-
cpe:2.3:a:nocodb:nocodb:0.256.0
-
cpe:2.3:a:nocodb:nocodb:0.257.0
-
cpe:2.3:a:nocodb:nocodb:0.257.2
-
cpe:2.3:a:nocodb:nocodb:0.258.0
-
cpe:2.3:a:nocodb:nocodb:0.258.1
-
cpe:2.3:a:nocodb:nocodb:0.258.10
-
cpe:2.3:a:nocodb:nocodb:0.258.11
-
cpe:2.3:a:nocodb:nocodb:0.258.2
-
cpe:2.3:a:nocodb:nocodb:0.258.3
-
cpe:2.3:a:nocodb:nocodb:0.260.0
-
cpe:2.3:a:nocodb:nocodb:0.260.1
-
cpe:2.3:a:nocodb:nocodb:0.260.2
-
cpe:2.3:a:nocodb:nocodb:0.260.3
-
cpe:2.3:a:nocodb:nocodb:0.260.4
-
cpe:2.3:a:nocodb:nocodb:0.260.5
-
cpe:2.3:a:nocodb:nocodb:0.260.6
-
cpe:2.3:a:nocodb:nocodb:0.260.7
-
cpe:2.3:a:nocodb:nocodb:0.261.0
-
cpe:2.3:a:nocodb:nocodb:0.262.0
-
cpe:2.3:a:nocodb:nocodb:0.262.1
-
cpe:2.3:a:nocodb:nocodb:0.262.2
-
cpe:2.3:a:nocodb:nocodb:0.262.3
-
cpe:2.3:a:nocodb:nocodb:0.262.4
-
cpe:2.3:a:nocodb:nocodb:0.262.5
-
cpe:2.3:a:nocodb:nocodb:0.263.0
-
cpe:2.3:a:nocodb:nocodb:0.263.1
-
cpe:2.3:a:nocodb:nocodb:0.263.2
-
cpe:2.3:a:nocodb:nocodb:0.263.3
-
cpe:2.3:a:nocodb:nocodb:0.263.4
-
cpe:2.3:a:nocodb:nocodb:0.263.6
-
cpe:2.3:a:nocodb:nocodb:0.263.7
-
cpe:2.3:a:nocodb:nocodb:0.263.8
-
cpe:2.3:a:nocodb:nocodb:0.264.0
-
cpe:2.3:a:nocodb:nocodb:0.264.1
-
cpe:2.3:a:nocodb:nocodb:0.264.2
-
cpe:2.3:a:nocodb:nocodb:0.264.3
-
cpe:2.3:a:nocodb:nocodb:0.264.4
-
cpe:2.3:a:nocodb:nocodb:0.264.6
-
cpe:2.3:a:nocodb:nocodb:0.4.2
-
cpe:2.3:a:nocodb:nocodb:0.4.4
-
cpe:2.3:a:nocodb:nocodb:0.4.5
-
cpe:2.3:a:nocodb:nocodb:0.4.8
-
cpe:2.3:a:nocodb:nocodb:0.4.9
-
cpe:2.3:a:nocodb:nocodb:0.80.0
-
cpe:2.3:a:nocodb:nocodb:0.81.0
-
cpe:2.3:a:nocodb:nocodb:0.81.1
-
cpe:2.3:a:nocodb:nocodb:0.82.0
-
cpe:2.3:a:nocodb:nocodb:0.83.0
-
cpe:2.3:a:nocodb:nocodb:0.83.1
-
cpe:2.3:a:nocodb:nocodb:0.83.2
-
cpe:2.3:a:nocodb:nocodb:0.83.3
-
cpe:2.3:a:nocodb:nocodb:0.83.4
-
cpe:2.3:a:nocodb:nocodb:0.83.5
-
cpe:2.3:a:nocodb:nocodb:0.83.6
-
cpe:2.3:a:nocodb:nocodb:0.83.8
-
cpe:2.3:a:nocodb:nocodb:0.84.1
-
cpe:2.3:a:nocodb:nocodb:0.84.10
-
cpe:2.3:a:nocodb:nocodb:0.84.12
-
cpe:2.3:a:nocodb:nocodb:0.84.13
-
cpe:2.3:a:nocodb:nocodb:0.84.14
-
cpe:2.3:a:nocodb:nocodb:0.84.15
-
cpe:2.3:a:nocodb:nocodb:0.84.16
-
cpe:2.3:a:nocodb:nocodb:0.84.2
-
cpe:2.3:a:nocodb:nocodb:0.84.3
-
cpe:2.3:a:nocodb:nocodb:0.84.6
-
cpe:2.3:a:nocodb:nocodb:0.84.7
-
cpe:2.3:a:nocodb:nocodb:0.84.8
-
cpe:2.3:a:nocodb:nocodb:0.84.9
-
cpe:2.3:a:nocodb:nocodb:0.9
-
cpe:2.3:a:nocodb:nocodb:0.9.41
-
cpe:2.3:a:nocodb:nocodb:0.90.0
-
cpe:2.3:a:nocodb:nocodb:0.90.1
-
cpe:2.3:a:nocodb:nocodb:0.90.10
-
cpe:2.3:a:nocodb:nocodb:0.90.11
-
cpe:2.3:a:nocodb:nocodb:0.90.2
-
cpe:2.3:a:nocodb:nocodb:0.90.3
-
cpe:2.3:a:nocodb:nocodb:0.90.4
-
cpe:2.3:a:nocodb:nocodb:0.90.5
-
cpe:2.3:a:nocodb:nocodb:0.90.7
-
cpe:2.3:a:nocodb:nocodb:0.90.8
-
cpe:2.3:a:nocodb:nocodb:0.90.9
-
cpe:2.3:a:nocodb:nocodb:0.91.0
-
cpe:2.3:a:nocodb:nocodb:0.91.1
-
cpe:2.3:a:nocodb:nocodb:0.91.10
-
cpe:2.3:a:nocodb:nocodb:0.91.6
-
cpe:2.3:a:nocodb:nocodb:0.91.7
-
cpe:2.3:a:nocodb:nocodb:0.91.8
-
cpe:2.3:a:nocodb:nocodb:0.91.9
-
cpe:2.3:a:nocodb:nocodb:0.92.0
-
cpe:2.3:a:nocodb:nocodb:0.92.1
-
cpe:2.3:a:nocodb:nocodb:0.92.2
-
cpe:2.3:a:nocodb:nocodb:0.92.3
-
cpe:2.3:a:nocodb:nocodb:0.92.4
-
cpe:2.3:a:nocodb:nocodb:0.96.0
-
cpe:2.3:a:nocodb:nocodb:0.96.1
-
cpe:2.3:a:nocodb:nocodb:0.96.2
-
cpe:2.3:a:nocodb:nocodb:0.96.4
-
cpe:2.3:a:nocodb:nocodb:0.97.0