CRITICAL🇬🇧 English

CVE-2026-35216

Budibase: nieuwierzytelniony RCE przez publiczny webhook i krok Bash

CVSS 9.0v3.1pub. 2026-04-03upd. 2026-04-08

Podatność w platformie Budibase umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu (RCE) na serwerze poprzez wywołanie automatyzacji zawierającej krok Bash za pośrednictwem publicznego endpointu webhook. Zagrożenie jest krytyczne, ponieważ exploit nie wymaga żadnego uwierzytelnienia, a proces uruchamiany jest z uprawnieniami root wewnątrz kontenera.

Pokaż oryginał (EN)

Budibase is an open-source low-code platform. Prior to version 3.33.4, an unauthenticated attacker can achieve Remote Code Execution (RCE) on the Budibase server by triggering an automation that contains a Bash step via the public webhook endpoint. No authentication is required to trigger the exploit. The process executes as root inside the container. This issue has been patched in version 3.33.4.

🤖 Analiza AI
Jak działa

Atakujący wysyła żądanie HTTP do publicznego endpointu webhook w Budibase, wyzwalając tym samym skonfigurowaną automatyzację zawierającą krok Bash. Brak mechanizmu uwierzytelniania dla tego endpointu sprawia, że dowolna osoba z dostępem sieciowym może uruchomić automatyzację. Wykonywany kod Bash jest uruchamiany w kontekście użytkownika root wewnątrz kontenera, co klasyfikuje podatność jako command injection (CWE-78). Pozwala to atakującemu na przeprowadzenie pełnego przejęcia środowiska kontenerowego.

Skutki

Atakujący może wykonać dowolne polecenia systemowe z uprawnieniami root wewnątrz kontenera Budibase, co umożliwia pełne przejęcie kontroli nad środowiskiem, kradzież danych, modyfikację aplikacji lub dalszy lateral movement w sieci.

Mitygacja

Należy niezwłocznie zaktualizować Budibase do wersji 3.33.4, w której podatność została załatana. Patch dostępny jest w referencjach producenta oraz w oficjalnym repozytorium GitHub (commit f0c731b409a96e401445a6a6030d2994ff4ac256).

Kogo dotyczy

Budibase w wersjach poprzedzających 3.33.4 (wszystkie instancje z publicznie dostępnym endpointem webhook i automatyzacjami zawierającymi krok Bash).

Uwagi

Podatność zgłoszona i naprawiona przez zespół Budibase; szczegóły dostępne w security advisory GHSA-fcm4-4pj2-m5hf. Proces wykonywany jako root wewnątrz kontenera — w środowiskach bez właściwej izolacji kontenerów ryzyko eskalacji poza kontener jest podwyższone.

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Budibase

    APP
    Budibase
    < 3.33.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth BypassContainerCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-54352CRITICAL9.6PL ✓ten sam produkt

Budibase: path traversal przez symlink w endpoint przetwarzania ZIP

CVE-2026-54350CRITICAL10.0PL ✓ten sam produkt

SQL/NoSQL Injection w Budibase — nieautoryzowany odczyt i zapis danych

CVE-2026-41428CRITICAL9.1PL ✓ten sam produkt

Budibase: pominięcie uwierzytelnienia przez manipulację query string

CVE-2026-31818CRITICAL9.6PL ✓ten sam produkt

SSRF w Budibase — nieaktywna ochrona blacklisty IP umożliwia dowolne żądania

CVE-2026-30240CRITICAL9.6PL ✓ten sam produkt

Path Traversal w Budibase — odczyt dowolnych plików przez endpoint PWA ZIP