Katalog CVE

CVE-2026-54351

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.46%

Percentyl 37 — wyżej niż 37% wszystkich znanych CVE

Streszczenie

Budibase przed wersją 3.39.9 zawiera podatność w punkcie końcowym webhooka, który jest publicznie dostępny i przekazuje pełne ciało żądania HTTP do parametrów automatyzacji. Atakujący może nadpisać wewnętrzną właściwość appId, co pozwala na wykonanie automatyzacji w kontekście ofiary i uzyskanie pełnego dostępu do jej bazy danych.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do danych i ich modyfikacji w kontekście ofiary, co może prowadzić do wycieku wrażliwych informacji lub naruszenia integralności systemu.

Rekomendacja

Należy natychmiast zaktualizować Budibase do wersji 3.39.9 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Budibase is an open-source low-code platform. Prior to 3.39.9, the webhook trigger endpoint in Budibase is publicly accessible and passes the full HTTP request body into automation execution parameters. A mass assignment vulnerability in externalTrigger() allows an attacker to overwrite the internal appId property by including it in the webhook POST body. When the automation is processed asynchronously (the default path for webhooks without a collect step), the worker executes the attacker-defined automation in the context of the victim's workspace, granting full read/write access to the victim's database. This vulnerability is fixed in 3.39.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS