CVE-2026-35216
CriticalSummary
Budibase to otwartoźródłowa platforma low-code. Przed wersją 3.33.4, nieautoryzowany atakujący mógł uzyskać zdalne wykonanie kodu (RCE) na serwerze Budibase, uruchamiając automatyzację zawierającą krok Bash za pośrednictwem publicznego punktu końcowego webhook. Nie jest wymagana autoryzacja do wywołania exploita.
Risk Assessment
Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Proces wykonuje się jako root wewnątrz kontenera, co zwiększa potencjalne szkody.
Recommendation
Zaleca się aktualizację do wersji 3.33.4 lub nowszej, aby załatać tę podatność. Dodatkowo, warto rozważyć ograniczenie dostępu do publicznych punktów końcowych webhook.
Original NVD description (English source)
Budibase is an open-source low-code platform. Prior to version 3.33.4, an unauthenticated attacker can achieve Remote Code Execution (RCE) on the Budibase server by triggering an automation that contains a Bash step via the public webhook endpoint. No authentication is required to trigger the exploit. The process executes as root inside the container. This issue has been patched in version 3.33.4.

