Katalog CVE

CVE-2026-35216

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Budibase to otwartoźródłowa platforma low-code. Przed wersją 3.33.4, nieautoryzowany atakujący mógł uzyskać zdalne wykonanie kodu (RCE) na serwerze Budibase, uruchamiając automatyzację zawierającą krok Bash za pośrednictwem publicznego punktu końcowego webhook. Nie jest wymagana autoryzacja do wywołania exploita.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Proces wykonuje się jako root wewnątrz kontenera, co zwiększa potencjalne szkody.

Rekomendacja

Zaleca się aktualizację do wersji 3.33.4 lub nowszej, aby załatać tę podatność. Dodatkowo, warto rozważyć ograniczenie dostępu do publicznych punktów końcowych webhook.

Oryginalny opis (angielski, źródło NVD)

Budibase is an open-source low-code platform. Prior to version 3.33.4, an unauthenticated attacker can achieve Remote Code Execution (RCE) on the Budibase server by triggering an automation that contains a Bash step via the public webhook endpoint. No authentication is required to trigger the exploit. The process executes as root inside the container. This issue has been patched in version 3.33.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS