CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-41428

Critical
Published: Translated: NVD NIST

Summary

Budibase to platforma open-source low-code. W wersjach przed 3.35.4, middleware uwierzytelniający używał nieprzypisanych wyrażeń regularnych do dopasowywania wzorców publicznych punktów końcowych do ctx.request.url, co pozwalało atakującym na dostęp do chronionych punktów końcowych.

Risk Assessment

Atakujący mógł uzyskać dostęp do chronionych zasobów, omijając uwierzytelnienie, co stwarza poważne ryzyko dla bezpieczeństwa danych organizacji.

Recommendation

Zaleca się aktualizację do wersji 3.35.4 lub nowszej, aby usunąć tę podatność i zabezpieczyć dostęp do chronionych punktów końcowych.

Original NVD description (English source)

Budibase is an open-source low-code platform. Prior to 3.35.4, the authenticated middleware uses unanchored regular expressions to match public (no-auth) endpoint patterns against ctx.request.url. Since ctx.request.url in Koa includes the query string, an attacker can access any protected endpoint by appending a public endpoint path as a query parameter. For example, POST /api/global/users/search?x=/api/system/status bypasses all authentication because the regex /api/system/status/ matches in the query string portion of the URL. This vulnerability is fixed in 3.35.4.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS