GHSA-387m-j3p9-3php — low GitHub Advisory (CVE-2026-28358) in npm/nocodb

描述

Summary

The password forgot endpoint returned different responses for registered and unregistered emails, allowing user enumeration.

Details

POST /api/v2/auth/password/forgot returned a success message for registered emails but 'Your email has not been registered.' for unknown emails. The fix returns a uniform response regardless of whether the email exists.

Impact

An unauthenticated attacker can determine whether an email is registered. No credentials or data are exposed.

Credit

This issue was reported by @Tulgaaaaaaaa.

基本資訊

類型: reviewed
嚴重度: low
GitHub 上的公告: 開啟公告 ↗
儲存庫公告: 開啟儲存庫公告 ↗
原始碼: 瀏覽原始碼 ↗
公開（公告）: 2026-03-02 19:42:07 UTC
更新時間: 2026-03-02 19:42:08 UTC
GitHub 審核: 2026-03-02 19:42:07 UTC
NVD 公開: 2026-03-02 17:16:33 UTC

Score	Percentile
0.92%	75.89%

CVSS Scores

Base score	Version	Severity	Vector
2.7	4.0	—	`CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:U` 點擊展開攻擊向量 (AV:N) 可經網際網路或企業可路由網段遠端觸達，攻擊者不必在裝置旁邊。攻擊複雜度 (AC:L) 步驟短、路徑清楚，重現成本低。攻擊要件 (AT:N) 除網路可達外，不必額外湊齊罕見基礎設施或資料形態。權限需求 (PR:N) 匿名或一般工作階段即可起步，不必事先提權。使用者互動 (UI:N) 不必受害者點連結、放行巨集或安裝軟體，攻擊鏈可自動走完。受影響系統的機密性影響 (VC:L) 可能出現欄位級或樣本級外洩，但難以演成「整批拖走」。受影響系統的完整性影響 (VI:N) 對紀錄真偽與業務規則幾乎不構成威脅。受影響系統的可用性影響 (VA:N) 不至於出現業務意義上的長時間停擺或災難性效能崩塌。後續系統的機密性影響 (SC:N) 經脆弱點波及下游後，幾乎讀不走有價值的機密資料。後續系統的完整性影響 (SI:N) 下游紀錄與業務規則幾乎不被撼動。後續系統的可用性影響 (SA:N) 下游不至於被拖到長時間癱瘓。利用成熟度（Threat） (E:U) 公開 PoC、實戰濫用與自動化工具鏈均未坐實。

Identifiers

Type	Value
GHSA	GHSA-387m-j3p9-3php ↗
CVE	CVE-2026-28358 ↗

CWEs

CWE id	Name
CWE-204	Observable Response Discrepancy

Credits

Tulgaaaaaaaa (reporter)

Affected packages (1)

Vulnerable version ranges and first patched releases as published by GitHub.

Ecosystem	Package	Vulnerable range	First patched	Vulnerable functions
npm	nocodb	<= 0.301.2	0.301.3	—

NocoDB Vulnerable to User Enumeration via Password Reset Endpoint

描述