Katalog CVE

CVE-2026-45548

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Budibase to platforma open-source do niskokodowego tworzenia aplikacji. W wersjach przed 3.34.8 funkcja processUrlFile w pliku extract.ts nie weryfikowała adresów IP, co umożliwiało uwierzytelnionym użytkownikom wysyłanie żądań do wewnętrznych adresów sieciowych.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do wewnętrznych zasobów sieciowych przez uwierzytelnionych użytkowników, co może prowadzić do wycieku danych lub innych ataków.

Rekomendacja

Zaleca się aktualizację do wersji 3.34.8 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu monitorowania i ograniczenia dostępu do wewnętrznych adresów.

Oryginalny opis (angielski, źródło NVD)

Budibase is an open-source low-code platform. Prior to 3.34.8, the processUrlFile function in packages/server/src/automations/steps/ai/extract.ts uses fetch(fileUrl) directly without the IP blacklist validation that is consistently applied to all other automation steps. This allows an authenticated user to trigger server-side requests to internal network addresses. This vulnerability is fixed in 3.34.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS