CVE-2026-34156 — 神龙十问 AI 深度分析摘要

🚨 **本质**：NocoBase 工作流脚本节点在 Node.js vm 沙箱中执行代码时，**console 对象泄露**了底层流对象。 💥 **后果**：攻击者可**逃逸沙箱**，实现**远程代码执行 (RCE)**。

🛡️ **CWE-913**：过度权限/沙箱逃逸。 🔍 **缺陷点**：传递给沙箱的 `console` 对象暴露了 `WritableWorkerStdio` 流，导致原型链遍历攻击成为可能。

📦 **产品**：NocoBase 低代码平台。 📅 **版本**：**2.0.28 之前**的所有版本均受影响。

👑 **权限**：以 **root** 权限执行任意代码。 📂 **数据**：完全控制主机，可窃取数据、篡改系统或横向移动。

🔑 **门槛**：中等。 ✅ **前提**：攻击者需具备**身份验证**（已登录账号）。 ⚙️ **配置**：利用 `WORKFLOW_SCRIPT_MODULES` 环境变量控制的白名单机制。

🧪 **PoC**：有！ProjectDiscovery 已发布 Nuclei 模板。 🌍 **在野**：暂无公开在野利用报告，但利用路径清晰（原型链遍历）。

🔍 **自查**：检查 NocoBase 版本是否 < 2.0.28。 📡 **扫描**：使用 Nuclei 模板 `CVE-2026-34156.yaml` 进行自动化检测。

✅ **已修复**：官方已发布 **v2.0.28** 版本修复此漏洞。 🔗 **参考**：GitHub Advisory GHSA-px3p-vgh9-m57c。

🛡️ **临时规避**：若无法立即升级，需严格限制**工作流脚本节点**的访问权限，并审查 `WORKFLOW_SCRIPT_MODULES` 配置，禁用不必要的模块。

🔥 **优先级**：**极高 (Critical)**。 💡 **建议**：CVSS 评分满分风险，一旦认证即可 RCE。请**立即升级**至 v2.0.28 或更高版本。