Podatność w platformie Budibase umożliwia zalogowanemu użytkownikowi z uprawnieniami buildera odczyt dowolnych plików dostępnych dla procesu serwera. Wynika z nieprawidłowej obsługi dowiązań symbolicznych (symlink) podczas rozpakowywania przesłanego archiwum ZIP.
▸ Pokaż oryginał (EN)
Budibase is an open-source low-code platform. Prior to 3.39.9, `POST /api/pwa/process-zip` at packages/server/src/api/routes/static.ts:24 accepts a builder-uploaded .zip, extracts it with extract-zip@2.0.1 into a temp directory, then for each entry listed in icons.json validates the icon path, opens it, and streams the bytes into MinIO. The resulting object is served back via GET /api/assets/{appId}/pwa/{uuid}.png. extract-zip@2.0.1 preserves absolute symlink targets when restoring symlink entries. The icon-source validator at packages/server/src/api/controllers/static/index.ts:259-268 resolves the icon source string against baseDir (path.resolve), checks resolvedSrc.startsWith(baseDir + path.sep) against that string, and calls fs.existsSync(resolvedSrc) which follows symbolic links to confirm the target exists. None of the three calls reject symbolic-link entries. packages/backend-core/src/objectStore/objectStore.ts:302 then calls (await fsp.open(path)).createReadStream() on the resolved path. fsp.open follows the symlink, the target file's bytes stream into MinIO, and the response of the asset-fetch endpoint returns those bytes verbatim. Result: a workspace-level builder reads any file the server process can open. This vulnerability is fixed in 3.39.9.
Endpoint `POST /api/pwa/process-zip` przyjmuje archiwum ZIP przesłane przez buildera i rozpakowuje je do katalogu tymczasowego przy użyciu biblioteki extract-zip@2.0.1, która zachowuje absolutne cele dowiązań symbolicznych. Walidator ścieżki ikon sprawdza, czy ścieżka zaczyna się od oczekiwanego katalogu bazowego, lecz nie odrzuca wpisów będących dowiązaniami symbolicznymi — wywołanie `fs.existsSync()` podąża za symlinkiem, potwierdzając jego istnienie. Następnie `fsp.open()` otwiera plik przez symlink i strumieniuje jego zawartość bezpośrednio do MinIO. Tak zapisany obiekt jest następnie serwowany przez endpoint `GET /api/assets/{appId}/pwa/{uuid}.png`, zwracając bajty docelowego pliku wprost do atakującego.
Atakujący posiadający uprawnienia buildera na poziomie workspace może odczytać dowolny plik, do którego dostęp ma proces serwera, w tym pliki konfiguracyjne, sekrety, klucze prywatne lub inne wrażliwe dane systemowe.
Należy zaktualizować Budibase do wersji 3.39.9 lub nowszej, w której podatność została naprawiona. Szczegóły dostępne w oficjalnym security advisory producenta pod adresem https://github.com/Budibase/budibase/security/advisories/GHSA-w7mq-r738-x278.
Budibase w wersjach przed 3.39.9 (open-source low-code platform).
Podatność wymaga posiadania uprawnień buildera na poziomie workspace (PR:L w wektorze CVSS), co ogranicza powierzchnię ataku do uwierzytelnionych użytkowników z tym poziomem dostępu. Podatność zgłoszona i naprawiona w ramach procesu odpowiedzialnego ujawnienia — fix dostępny w wersji 3.39.9.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:NBudibase
APPBudibase< 3.39.9
Powiązane podatności
SQL/NoSQL Injection w Budibase — nieautoryzowany odczyt i zapis danych
Budibase: pominięcie uwierzytelnienia przez manipulację query string
SSRF w Budibase — nieaktywna ochrona blacklisty IP umożliwia dowolne żądania
Budibase: nieuwierzytelniony RCE przez publiczny webhook i krok Bash
Path Traversal w Budibase — odczyt dowolnych plików przez endpoint PWA ZIP