NocoDB is software for building databases as spreadsheets. Prior to 0.202.9, a stored cross-site scripting vulnerability exists within the Formula virtual cell comments functionality. The nc-gui/components/virtual-cell/Formula.vue displays a v-html tag with the value of "urls" whose contents are processed by the function replaceUrlsWithLink(). This function recognizes the pattern URI::(XXX) and creates a hyperlink tag <a> with href=XXX. However, it leaves all the other contents outside of the pattern URI::(XXX) unchanged. This vulnerability is fixed in 0.202.9.
NocoDB es un software para crear bases de datos como hojas de cálculo. Antes de 0.202.9, existía una vulnerabilidad de Cross Site Scripting almacenado dentro de la funcionalidad de comentarios de celda virtual de Fórmula. El nc-gui/components/virtual-cell/Formula.vue muestra una etiqueta v-html con el valor de "urls" cuyo contenido es procesado por la función replaceUrlsWithLink(). Esta función reconoce el patrón URI::(XXX) y crea una etiqueta de hipervínculo <a rel="nofollow"> con href=XXX. Sin embargo, deja todos los demás contenidos fuera del patrón URI::(XXX) sin cambios. Esta vulnerabilidad está solucionada en 0.202.9.</a>