Podatność w platformie Budibase umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu (RCE) na serwerze poprzez wywołanie automatyzacji zawierającej krok Bash za pośrednictwem publicznego endpointu webhook. Zagrożenie jest krytyczne, ponieważ exploit nie wymaga żadnego uwierzytelnienia, a proces uruchamiany jest z uprawnieniami root wewnątrz kontenera.
▸ Pokaż oryginał (EN)
Budibase is an open-source low-code platform. Prior to version 3.33.4, an unauthenticated attacker can achieve Remote Code Execution (RCE) on the Budibase server by triggering an automation that contains a Bash step via the public webhook endpoint. No authentication is required to trigger the exploit. The process executes as root inside the container. This issue has been patched in version 3.33.4.
Atakujący wysyła żądanie HTTP do publicznego endpointu webhook w Budibase, wyzwalając tym samym skonfigurowaną automatyzację zawierającą krok Bash. Brak mechanizmu uwierzytelniania dla tego endpointu sprawia, że dowolna osoba z dostępem sieciowym może uruchomić automatyzację. Wykonywany kod Bash jest uruchamiany w kontekście użytkownika root wewnątrz kontenera, co klasyfikuje podatność jako command injection (CWE-78). Pozwala to atakującemu na przeprowadzenie pełnego przejęcia środowiska kontenerowego.
Atakujący może wykonać dowolne polecenia systemowe z uprawnieniami root wewnątrz kontenera Budibase, co umożliwia pełne przejęcie kontroli nad środowiskiem, kradzież danych, modyfikację aplikacji lub dalszy lateral movement w sieci.
Należy niezwłocznie zaktualizować Budibase do wersji 3.33.4, w której podatność została załatana. Patch dostępny jest w referencjach producenta oraz w oficjalnym repozytorium GitHub (commit f0c731b409a96e401445a6a6030d2994ff4ac256).
Budibase w wersjach poprzedzających 3.33.4 (wszystkie instancje z publicznie dostępnym endpointem webhook i automatyzacjami zawierającymi krok Bash).
Podatność zgłoszona i naprawiona przez zespół Budibase; szczegóły dostępne w security advisory GHSA-fcm4-4pj2-m5hf. Proces wykonywany jako root wewnątrz kontenera — w środowiskach bez właściwej izolacji kontenerów ryzyko eskalacji poza kontener jest podwyższone.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HBudibase
APPBudibase< 3.33.4
Powiązane podatności
Budibase: path traversal przez symlink w endpoint przetwarzania ZIP
SQL/NoSQL Injection w Budibase — nieautoryzowany odczyt i zapis danych
Budibase: pominięcie uwierzytelnienia przez manipulację query string
SSRF w Budibase — nieaktywna ochrona blacklisty IP umożliwia dowolne żądania
Path Traversal w Budibase — odczyt dowolnych plików przez endpoint PWA ZIP