CVE-2026-45548
WysokieStreszczenie
Budibase to platforma open-source do niskokodowego tworzenia aplikacji. W wersjach przed 3.34.8 funkcja processUrlFile w pliku extract.ts nie weryfikowała adresów IP, co umożliwiało uwierzytelnionym użytkownikom wysyłanie żądań do wewnętrznych adresów sieciowych.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do wewnętrznych zasobów sieciowych przez uwierzytelnionych użytkowników, co może prowadzić do wycieku danych lub innych ataków.
Rekomendacja
Zaleca się aktualizację do wersji 3.34.8 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu monitorowania i ograniczenia dostępu do wewnętrznych adresów.
Oryginalny opis (angielski, źródło NVD)
Budibase is an open-source low-code platform. Prior to 3.34.8, the processUrlFile function in packages/server/src/automations/steps/ai/extract.ts uses fetch(fileUrl) directly without the IP blacklist validation that is consistently applied to all other automation steps. This allows an authenticated user to trigger server-side requests to internal network addresses. This vulnerability is fixed in 3.34.8.

