Katalog CVE

CVE-2026-30240

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Budibase to platforma niskokodowa do tworzenia narzędzi wewnętrznych, przepływów pracy i paneli administracyjnych. W wersjach 3.31.5 i wcześniejszych występuje podatność na traversję ścieżek w punkcie końcowym przetwarzania ZIP PWA, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami twórcy na odczyt dowolnych plików z systemu plików serwera.

Ocena ryzyka

Podatność ta umożliwia atakującemu dostęp do wrażliwych danych, takich jak sekrety JWT, dane uwierzytelniające bazy danych, klucze szyfrowania i tokeny API, co prowadzi do całkowitego kompromitacji platformy.

Rekomendacja

Zaleca się aktualizację Budibase do wersji 3.31.6 lub nowszej, aby usunąć tę podatność oraz przegląd zabezpieczeń aplikacji w celu zminimalizowania ryzyka wycieku danych.

Oryginalny opis (angielski, źródło NVD)

Budibase is a low code platform for creating internal tools, workflows, and admin panels. In 3.31.5 and earlier, a path traversal vulnerability in the PWA (Progressive Web App) ZIP processing endpoint (POST /api/pwa/process-zip) allows an authenticated user with builder privileges to read arbitrary files from the server filesystem, including /proc/1/environ which contains all environment variables — JWT secrets, database credentials, encryption keys, and API tokens. The server reads attacker-specified files via unsanitized path.join() with user-controlled input from icons.json inside the uploaded ZIP, then uploads the file contents to the object store (MinIO/S3) where they can be retrieved through signed URLs. This results in complete platform compromise as all cryptographic secrets and service credentials are exfiltrated in a single request.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS