Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.
SALTCORN-ALARM! Wer das No-Code-Tool Saltcorn selber hostet, sollte JETZT alles stehen und liegen lassen. Am 24. April 2026 wurde CVE-2026-41478 veröffentlicht: eine kritische SQL-Injection mit einem brutalen CVSS-Score von 9.9. UNGLAUBLICH – und gefährlich.
NordPassSCHOCK: Was ist Saltcorn überhaupt?
Saltcorn ist ein Open-Source-No-Code-Builder ähnlich wie Airtable, Budibase oder NocoDB. Du baust dir Datenbank-Apps mit Formularen, Tabellen und Dashboards – ohne eine einzige Zeile Code. Bei Self-Hostern beliebt, weil es komplett kostenlos und auf eigenem Server läuft.
Genau das macht den Bug so heikel: Wer Saltcorn nutzt, hat oft echte Produktionsdaten drin. Kontakte, Inventar, Buchhaltung, Kundenakten.
UNGLAUBLICH: Was macht der Angriff?
Das Loch sitzt in den Mobile-Sync-Routes:
POST /sync/load_changesPOST /sync/deletes
Saltcorn prüft den Parameter maxLoadedId nicht ordentlich. Ein angemeldeter Nutzer mit Lese-Recht auf EIN EINZIGES Tabellen-Recht kann mit einem präparierten JSON-Payload beliebiges SQL einschmuggeln.
Was kann ein Angreifer dann tun? ALLES:
- Komplette Datenbank exfiltrieren.
- Admin-Passwort-Hashes auslesen – und offline cracken.
- Konfigurations-Secrets stehlen.
- Datensätze löschen oder ändern.
Das ist nicht nur ein theoretisches Loch – das ist volle Datenbank-Übernahme.
GEFAHR! Wer ist betroffen?
Alle Saltcorn-Versionen VOR:
- 1.4.6
- 1.5.6
- 1.6.0-beta.5
Sind verwundbar. Wenn du eine aktive Mobile-Sync-Funktion nutzt, bist du EXTREM gefährdet. Aber selbst wer die Mobile-Sync nicht aktiv nutzt: solange die Routes erreichbar sind, kann der Angriff laufen.
So rettest du dich in 5 MINUTEN!
- Saltcorn-Version prüfen: im Admin-Bereich oder per
npm list -g | grep saltcorn. - Update ziehen:
npm install -g @saltcorn/cli@1.6.0 saltcorn restart - Wer Docker nutzt:
docker pull saltcorn/saltcorn:1.6.0 docker compose up -d - Server-Neustart, dann gleich prüfen, ob alles läuft.
- Logs durchkämmen nach verdächtigen
POST /sync/...-Requests.
EXTRA-TIPP: Wenn du JETZT NICHT updaten kannst!
Manchmal kommt das Update-Fenster erst später. Dann musst du sofort eine Notbremse ziehen:
- Reverse-Proxy konfigurieren (Nginx, Caddy, Traefik) – alle
POST /sync/*-Requests blocken. - Web Application Firewall aktivieren – Cloudflare, ModSecurity, oder OPNsense vor Saltcorn.
- Mobile-Sync-User deaktivieren, bis das Update durch ist.
FAZIT: No-Code – aber bitte mit Patches!
No-Code-Tools sind genial, weil sie schnell sind. Aber sie sind kein Freifahrtsschein gegen Sicherheits-Pflichten. CVE-2026-41478 zeigt es: Ein einziger schlecht geprüfter Parameter kann deine ganze Datenbank kosten. JETZT updaten, Logs prüfen, Passworter rotieren falls nötig. Und beim nächsten Tool-Check: schauen, wie der Hersteller mit Sicherheitslücken umgeht!
Quellen: thehackerwire.com Saltcorn SQLi, GHSA-jp74-mfrx-3qvh.