CVE-2026-45716
WysokieStreszczenie
Budibase to platforma open-source low-code, która przed wersją 3.38.1 miała lukę w zabezpieczeniach w punkcie końcowym POST /api/global/users/onboard. Umożliwia to użytkownikom z uprawnieniami budowniczego dostęp do tworzenia nowych kont globalnych administratorów, co prowadzi do eskalacji uprawnień.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane tworzenie kont administratorów, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację Budibase do wersji 3.38.1 lub nowszej, aby usunąć tę lukę oraz skonfigurowanie SMTP dla dodatkowego zabezpieczenia.
Oryginalny opis (angielski, źródło NVD)
Budibase is an open-source low-code platform. Prior to 3.38.1, the POST /api/global/users/onboard endpoint is protected by workspaceBuilderOrAdmin middleware, allowing any user with builder permissions to access it. When SMTP email is not configured (the default for self-hosted Budibase instances), this endpoint bypasses the admin-restricted invite flow and directly creates users via bulkCreate, accepting arbitrary admin and builder role assignments from the request body. A builder-level user can create a new global admin account and receive the generated password in the response, achieving full privilege escalation. This vulnerability is fixed in 3.38.1.

