CRITICAL🇬🇧 English

CVE-2026-54352

Budibase: path traversal przez symlink w endpoint przetwarzania ZIP

CVSS 9.6v3.1pub. 2026-06-26upd. 2026-06-30

Podatność w platformie Budibase umożliwia zalogowanemu użytkownikowi z uprawnieniami buildera odczyt dowolnych plików dostępnych dla procesu serwera. Wynika z nieprawidłowej obsługi dowiązań symbolicznych (symlink) podczas rozpakowywania przesłanego archiwum ZIP.

Pokaż oryginał (EN)

Budibase is an open-source low-code platform. Prior to 3.39.9, `POST /api/pwa/process-zip` at packages/server/src/api/routes/static.ts:24 accepts a builder-uploaded .zip, extracts it with extract-zip@2.0.1 into a temp directory, then for each entry listed in icons.json validates the icon path, opens it, and streams the bytes into MinIO. The resulting object is served back via GET /api/assets/{appId}/pwa/{uuid}.png. extract-zip@2.0.1 preserves absolute symlink targets when restoring symlink entries. The icon-source validator at packages/server/src/api/controllers/static/index.ts:259-268 resolves the icon source string against baseDir (path.resolve), checks resolvedSrc.startsWith(baseDir + path.sep) against that string, and calls fs.existsSync(resolvedSrc) which follows symbolic links to confirm the target exists. None of the three calls reject symbolic-link entries. packages/backend-core/src/objectStore/objectStore.ts:302 then calls (await fsp.open(path)).createReadStream() on the resolved path. fsp.open follows the symlink, the target file's bytes stream into MinIO, and the response of the asset-fetch endpoint returns those bytes verbatim. Result: a workspace-level builder reads any file the server process can open. This vulnerability is fixed in 3.39.9.

🤖 Analiza AI
Jak działa

Endpoint `POST /api/pwa/process-zip` przyjmuje archiwum ZIP przesłane przez buildera i rozpakowuje je do katalogu tymczasowego przy użyciu biblioteki extract-zip@2.0.1, która zachowuje absolutne cele dowiązań symbolicznych. Walidator ścieżki ikon sprawdza, czy ścieżka zaczyna się od oczekiwanego katalogu bazowego, lecz nie odrzuca wpisów będących dowiązaniami symbolicznymi — wywołanie `fs.existsSync()` podąża za symlinkiem, potwierdzając jego istnienie. Następnie `fsp.open()` otwiera plik przez symlink i strumieniuje jego zawartość bezpośrednio do MinIO. Tak zapisany obiekt jest następnie serwowany przez endpoint `GET /api/assets/{appId}/pwa/{uuid}.png`, zwracając bajty docelowego pliku wprost do atakującego.

Skutki

Atakujący posiadający uprawnienia buildera na poziomie workspace może odczytać dowolny plik, do którego dostęp ma proces serwera, w tym pliki konfiguracyjne, sekrety, klucze prywatne lub inne wrażliwe dane systemowe.

Mitygacja

Należy zaktualizować Budibase do wersji 3.39.9 lub nowszej, w której podatność została naprawiona. Szczegóły dostępne w oficjalnym security advisory producenta pod adresem https://github.com/Budibase/budibase/security/advisories/GHSA-w7mq-r738-x278.

Kogo dotyczy

Budibase w wersjach przed 3.39.9 (open-source low-code platform).

Uwagi

Podatność wymaga posiadania uprawnień buildera na poziomie workspace (PR:L w wektorze CVSS), co ogranicza powierzchnię ataku do uwierzytelnionych użytkowników z tym poziomem dostępu. Podatność zgłoszona i naprawiona w ramach procesu odpowiedzialnego ujawnienia — fix dostępny w wersji 3.39.9.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Budibase

    APP
    Budibase
    < 3.39.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-54350CRITICAL10.0PL ✓ten sam produkt

SQL/NoSQL Injection w Budibase — nieautoryzowany odczyt i zapis danych

CVE-2026-41428CRITICAL9.1PL ✓ten sam produkt

Budibase: pominięcie uwierzytelnienia przez manipulację query string

CVE-2026-31818CRITICAL9.6PL ✓ten sam produkt

SSRF w Budibase — nieaktywna ochrona blacklisty IP umożliwia dowolne żądania

CVE-2026-35216CRITICAL9.0PL ✓ten sam produkt

Budibase: nieuwierzytelniony RCE przez publiczny webhook i krok Bash

CVE-2026-30240CRITICAL9.6PL ✓ten sam produkt

Path Traversal w Budibase — odczyt dowolnych plików przez endpoint PWA ZIP