B
今週中
NocoBase 2.0.27以前に、VMサンドボックスから脱出可能な脆弱性
📌 一言でいうと
NocoBase 2.0.27以前に、VMサンドボックスから脱出可能な脆弱性が発見されました。攻撃者はWorkflow Script Nodeを通じてJavaScriptを実行し、プロトタイプチェーンを辿ることでホスト環境のprocessオブジェクトにアクセスし、任意のコードを実行できる可能性があります。CVSSスコアは9.9と非常に高く、早急なアップデートが推奨されます。
🔍該当判定
- ノーコードツール「NocoBase」を自社サーバーやクラウドで利用している
- NocoBaseのバージョンが 2.0.27 以前である
- NocoBaseの「Workflow Script Node」機能でJavaScriptを実行する設定にしている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
NocoBaseを最新バージョン(2.0.28以降)にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】NocoBase CVE-2026-34156 (VM Sandbox Escape) 対応について
お疲れさまです。NocoBaseのサンドボックス脱出の脆弱性に関する情報共有です。
■ 概要
NocoBaseのWorkflow Script Nodeにおいて、Node.js vmサンドボックスの不備によりホスト環境のprocessオブジェクトへアクセス可能な脆弱性が確認されました。攻撃者が認証済みユーザー権限を持つ場合、ホストOS上で任意のコードを実行できる可能性があります(CVSS 9.9)。
■ 影響範囲
- 対象製品: NocoBase
- 対象バージョン: 2.0.27 以前
■ 対応手順
1. NocoBaseのバージョンを確認してください。
2. 脆弱性が修正されたバージョン 2.0.28 以降へアップデートを適用してください。
■ 参考情報
- アドバイザリ: https://github.com/nocobase/nocobase/security/advisories/GHSA-px3p-vgh9-m57c
対応優先度: 高
対応期限: 速やかに
お疲れさまです。NocoBaseのサンドボックス脱出の脆弱性に関する情報共有です。
■ 概要
NocoBaseのWorkflow Script Nodeにおいて、Node.js vmサンドボックスの不備によりホスト環境のprocessオブジェクトへアクセス可能な脆弱性が確認されました。攻撃者が認証済みユーザー権限を持つ場合、ホストOS上で任意のコードを実行できる可能性があります(CVSS 9.9)。
■ 影響範囲
- 対象製品: NocoBase
- 対象バージョン: 2.0.27 以前
■ 対応手順
1. NocoBaseのバージョンを確認してください。
2. 脆弱性が修正されたバージョン 2.0.28 以降へアップデートを適用してください。
■ 参考情報
- アドバイザリ: https://github.com/nocobase/nocobase/security/advisories/GHSA-px3p-vgh9-m57c
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] NocoBase CVE-2026-34156 - VM Sandbox Escape
Dear IT/Security Team,
We are sharing information regarding a critical sandbox escape vulnerability in NocoBase.
■ Overview
A vulnerability in the Workflow Script Node allows attackers to escape the Node.js vm sandbox by traversing the prototype chain via the console object. This enables access to the host's process object and subsequent arbitrary code execution (CVSS 9.9).
■ Scope
- Product: NocoBase
- Affected Versions: <= 2.0.27
■ Remediation
1. Verify the current version of NocoBase in your environment.
2. Update to version 2.0.28 or later immediately.
■ Reference
- Advisory: https://github.com/nocobase/nocobase/security/advisories/GHSA-px3p-vgh9-m57c
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a critical sandbox escape vulnerability in NocoBase.
■ Overview
A vulnerability in the Workflow Script Node allows attackers to escape the Node.js vm sandbox by traversing the prototype chain via the console object. This enables access to the host's process object and subsequent arbitrary code execution (CVSS 9.9).
■ Scope
- Product: NocoBase
- Affected Versions: <= 2.0.27
■ Remediation
1. Verify the current version of NocoBase in your environment.
2. Update to version 2.0.28 or later immediately.
■ Reference
- Advisory: https://github.com/nocobase/nocobase/security/advisories/GHSA-px3p-vgh9-m57c
Priority: High
Deadline: Immediate