CVE-2026-31818
KrytyczneStreszczenie
Budibase to otwartoźródłowa platforma low-code. Przed wersją 3.33.4 występuje podatność typu server-side request forgery (SSRF) w konektorze źródła danych REST, ponieważ mechanizm ochrony przed SSRF (czarna lista IP) jest nieskuteczny z powodu braku domyślnego ustawienia zmiennej środowiskowej BLACKLIST_IPS w oficjalnych konfiguracjach wdrożeniowych.
Ocena ryzyka
Brak skutecznej ochrony przed SSRF może prowadzić do nieautoryzowanego dostępu do wewnętrznych zasobów sieciowych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 3.33.4 lub nowszej oraz skonfigurowanie zmiennej BLACKLIST_IPS w celu zabezpieczenia przed atakami SSRF.
Oryginalny opis (angielski, źródło NVD)
Budibase is an open-source low-code platform. Prior to version 3.33.4, a server-side request forgery (SSRF) vulnerability exists in Budibase's REST datasource connector. The platform's SSRF protection mechanism (IP blacklist) is rendered completely ineffective because the BLACKLIST_IPS environment variable is not set by default in any of the official deployment configurations. When this variable is empty, the blacklist function unconditionally returns false, allowing all requests through without restriction. This issue has been patched in version 3.33.4.

