CVE-2026-54350
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 — wyżej niż 41% wszystkich znanych CVE
Streszczenie
Budibase przed wersją 3.39.12 zawiera podatność, która pozwala nieuwierzytelnionemu użytkownikowi na odczytanie wszystkich dokumentów z kolekcji MongoDB, CouchDB, Elasticsearch, DynamoDB-PartiQL lub REST-with-JSON-body, a w przypadku publicznych zapytań typu write również na modyfikację wszystkich dokumentów za pomocą jednego żądania HTTP. Problem wynika z nieprawidłowego walidowania danych wejściowych w funkcji validateQueryInputs, która odrzuca tylko znaczniki Handlebars, ale nie escapuje metaznaków JSON, co umożliwia wstrzyknięcie dodatkowych pól do obiektu filtra.
Ocena ryzyka
Organizacja narażona jest na całkowitą utratę poufności i integralności danych przechowywanych w obsługiwanych bazach danych. Atakujący może bez uwierzytelnienia odczytać wszystkie rekordy oraz, jeśli opublikowane zapytanie ma rolę PUBLIC, zmodyfikować lub usunąć wszystkie dokumenty w kolekcji.
Rekomendacja
Należy niezwłocznie zaktualizować Budibase do wersji 3.39.12 lub nowszej. Dodatkowo, dla opublikowanych aplikacji, należy upewnić się, że żadne zapytania nie mają przypisanej roli PUBLIC, chyba że jest to absolutnie konieczne i zabezpieczone innymi mechanizmami.
Oryginalny opis (angielski, źródło NVD)
Budibase is an open-source low-code platform. Prior to 3.39.12, an unauthenticated visitor of any published Budibase app reads every document of the backing MongoDB, CouchDB, Elasticsearch, DynamoDB-PartiQL, or REST-with-JSON-body collection and, where the builder has published a PUBLIC write query, modifies every document of that collection with one HTTP request. enrichContext at packages/server/src/sdk/workspace/queries/queries.ts:121-138 substitutes parameter values into the raw JSON body of a query, then JSON.parses the result. The validator validateQueryInputs at packages/server/src/api/controllers/query/index.ts:61-71 rejects only Handlebars markers ({{, }}) in user input and does not escape JSON metacharacters (", \, }). A parameter value containing a closing quote and additional keys lifts attacker-controlled fields into the parsed filter object. For Mongo find, the parsed filter passes directly to collection.find() (packages/server/src/integrations/mongodb.ts:506-510). Duplicate-key JSON parsing overrides the builder's {name: "..."} with {name: {$exists: true}} and returns every document. The same primitive against an updateMany query (mongodb.ts:577-585) widens the filter scope to the full collection while the builder-controlled $set body runs against every matched document. The authorized middleware at packages/server/src/middleware/authorized.ts:141-148 short-circuits when the query's role is PUBLIC. CSRF is not enforced on this path. POST /api/v2/queries/:queryId (packages/server/src/api/routes/query.ts:63) accepts the call with no session, only an x-budibase-app-id header that is public from the published-app URL. This vulnerability is fixed in 3.39.12.

