Katalog CVE

CVE-2026-50137

KrytyczneCVSS 9.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 33 — wyżej niż 33% wszystkich znanych CVE

Streszczenie

Budibase przed wersją 3.39.0 zawiera podatność, która pozwala anonimowemu atakującemu na uzyskanie podpisanej URL do zapisu do dowolnego zasobnika S3, do którego ofiara ma dostęp. Atak wymaga znajomości identyfikatora przestrzeni roboczej i źródła danych S3, ale nie wymaga uwierzytelnienia.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego zapisu danych do zasobników S3 ofiary, co może prowadzić do wycieku danych, modyfikacji lub uszkodzenia przechowywanych informacji. Atakujący może również wykorzystać tę podatność do eskalacji uprawnień w środowisku chmurowym.

Rekomendacja

Należy natychmiast zaktualizować Budibase do wersji 3.39.0 lub nowszej. Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointu /api/attachments/:datasourceId/url oraz wdrożenie uwierzytelniania dla wszystkich żądań.

Oryginalny opis (angielski, źródło NVD)

Budibase is an open-source low-code platform. Prior to 3.39.0, an anonymous attacker who knows or can enumerate a workspace id (app_...) and an S3-source datasource id (ds_...) can call this endpoint with no auth and obtain a 15-minute pre-signed PUT URL minted on the victim's IAM identity. The endpoint also returns the publicUrl so the attacker knows exactly where their PUT lands. Because bucket is attacker-controlled, the attacker can write to any bucket those IAM credentials can write to, not only the bucket the datasource was configured for. The Budibase server route POST /api/attachments/:datasourceId/url (packages/server/src/api/routes/static.ts) is registered with only the recaptcha middleware. There is no authorized(...) middleware in the chain. The controller (packages/server/src/api/controllers/static/index.ts::getSignedUploadURL) looks the requested datasource up, instantiates an AWS S3 client with the datasource's stored accessKeyId / secretAccessKey, and returns an AWS Signature V4 pre-signed PutObjectCommand URL for the caller-supplied bucket and key. The bucket is not pinned to the datasource's configured bucket. The workspace context required by sdk.datasources.get is sourced by getWorkspaceIdFromCtx (packages/backend-core/src/utils/utils.ts) from any of: the x-budibase-app-id header, the JSON body appId, a path segment that begins with the workspace prefix, or ?appId=. auth.buildAuthMiddleware([], { publicAllowed: true }) runs before any of this and explicitly allows anonymous requests. The currentWorkspace middleware's "deny access to dev preview" branch only triggers under isBrowser(ctx) && !isApiKey(ctx); isBrowser checks the parsed User-Agent for a recognised browser, so any non-browser client (curl, the supplied PoC, any tool not setting a browser UA) is neither and reaches dev workspaces too. This vulnerability is fixed in 3.39.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS