Budibase is a low code platform for creating internal tools, workflows, and admin panels. In 3.24.0 and earlier, an arbitrary file upload vulnerability exists even though file extension restrictions are configured. The restriction is enforced only at the UI level. An attacker can bypass these restrictions and upload malicious files.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:LBudibase
APPBudibase≤ 3.24.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
Powiązane podatności
CVE-2026-54350CRITICAL10.0PL ✓ten sam produkt
SQL/NoSQL Injection w Budibase — nieautoryzowany odczyt i zapis danych
CVE-2026-54352CRITICAL9.6PL ✓ten sam produkt
Budibase: path traversal przez symlink w endpoint przetwarzania ZIP
CVE-2026-41428CRITICAL9.1PL ✓ten sam produkt
Budibase: pominięcie uwierzytelnienia przez manipulację query string
CVE-2026-31818CRITICAL9.6PL ✓ten sam produkt
SSRF w Budibase — nieaktywna ochrona blacklisty IP umożliwia dowolne żądania
CVE-2026-35216CRITICAL9.0PL ✓ten sam produkt
Budibase: nieuwierzytelniony RCE przez publiczny webhook i krok Bash