CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-31816

Critical
Published: Translated: NVD NIST

Summary

Budibase to platforma niskokodowa do tworzenia narzędzi wewnętrznych, przepływów pracy i paneli administracyjnych. W wersjach 3.31.4 i wcześniejszych, middleware authorized() serwera Budibase, który chroni każdy punkt końcowy API po stronie serwera, może być całkowicie ominięty przez dodanie wzoru ścieżki webhooka do ciągu zapytania w dowolnym żądaniu.

Risk Assessment

Atakujący zdalny, nieautoryzowany użytkownik może uzyskać dostęp do dowolnego punktu końcowego API po stronie serwera, co stwarza poważne zagrożenie dla bezpieczeństwa danych i systemu. Brak odpowiednich mechanizmów uwierzytelniania i autoryzacji może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji.

Recommendation

Zaleca się aktualizację Budibase do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń aplikacji oraz wdrożyć dodatkowe mechanizmy ochrony przed nieautoryzowanym dostępem.

Original NVD description (English source)

Budibase is a low code platform for creating internal tools, workflows, and admin panels. In 3.31.4 and earlier, the Budibase server's authorized() middleware that protects every server-side API endpoint can be completely bypassed by appending a webhook path pattern to the query string of any request. The isWebhookEndpoint() function uses an unanchored regex that tests against ctx.request.url, which in Koa includes the full URL with query parameters. When the regex matches, the authorized() middleware immediately calls return next(), skipping all authentication, authorization, role checks, and CSRF protection. This means a completely unauthenticated, remote attacker can access any server-side API endpoint by simply appending ?/webhooks/trigger (or any webhook pattern variant) to the URL.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS