CVE-2026-48152
WysokieStreszczenie
Budibase to otwartoźródłowa platforma low-code, która przed wersją 3.39.0 miała luki w zabezpieczeniach związane z dostępem do tras GET i PUT dla pojedynczego źródła danych. Użytkownicy z rolą Basic mogli uzyskać dostęp do poufnych informacji, takich jak sekrety autoryzacji, poprzez manipulację danymi konfiguracyjnymi.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie poufnych danych autoryzacyjnych, co może prowadzić do nieautoryzowanego dostępu do zasobów i danych. Atakujący mogą wykorzystać tę lukę do przejęcia kontroli nad aplikacjami korzystającymi z Budibase.
Rekomendacja
Zaleca się aktualizację Budibase do wersji 3.39 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników oraz zabezpieczeń aplikacji.
Oryginalny opis (angielski, źródło NVD)
Budibase is an open-source low-code platform. Prior to 3.39.0, the single-datasource GET and PUT routes are guarded by generic TABLE READ, not by Builder/Admin permission or datasource-specific ownership/resource checks. The built-in Basic app user role maps to the WRITE permission set, which includes table read/write and query write. A Basic user can therefore read an existing REST datasource, receive redacted authConfigs values, submit an update that changes only config.url while keeping the redacted placeholders, and trigger an existing saved relative-path REST query. During update, mergeConfigs() restores the old stored secret when it sees the redaction placeholder. During query execution, Budibase prefixes the attacker-controlled datasource config.url to the relative query path and applies the resolved stored auth headers. The result is server-side disclosure of the builder-configured REST Authorization secret to an attacker-controlled listener. This vulnerability is fixed in 3.39

