CVE-2026-48151
WysokieStreszczenie
Budibase to otwartoźródłowa platforma low-code. Przed wersją 3.39.0, punkt końcowy budowania schematu webhooka nie wymagał autoryzacji, co pozwalało nieautoryzowanym użytkownikom na aktualizację schematu ciała dla znanego webhooka.
Ocena ryzyka
Nieautoryzowany dostęp do schematu webhooka może prowadzić do nieprzewidzianych zmian w automatyzacji, co zagraża integralności procesów biznesowych organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 3.39.0 lub nowszej, aby zabezpieczyć punkt końcowy przed nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
Budibase is an open-source low-code platform. Prior to 3.39.0, the webhook schema-building endpoint is registered under builderRoutes, but the generic authorization middleware skips authorization for all paths matching /api/webhooks/schema. As a result, an unauthenticated caller can update the body schema for a known webhook and mutate the corresponding automation trigger output schema. This vulnerability is fixed in 3.39.0.

