Katalog CVE

CVE-2026-54352

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.49%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

Budibase przed wersją 3.39.9 zawiera podatność polegającą na nieprawidłowej walidacji dowiązań symbolicznych podczas przetwarzania plików ZIP. Atakujący na poziomie builder może wstrzyknąć dowiązanie symboliczne wskazujące na dowolny plik w systemie, który zostanie odczytany i przesłany do MinIO, a następnie udostępniony przez API.

Ocena ryzyka

Ryzyko polega na możliwości odczytu dowolnych plików serwera przez atakującego z uprawnieniami builder, co może prowadzić do wycieku poufnych danych, takich jak konfiguracje, klucze czy dane użytkowników.

Rekomendacja

Należy natychmiast zaktualizować Budibase do wersji 3.39.9 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do endpointu /api/pwa/process-zip tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Budibase is an open-source low-code platform. Prior to 3.39.9, `POST /api/pwa/process-zip` at packages/server/src/api/routes/static.ts:24 accepts a builder-uploaded .zip, extracts it with [email protected] into a temp directory, then for each entry listed in icons.json validates the icon path, opens it, and streams the bytes into MinIO. The resulting object is served back via GET /api/assets/{appId}/pwa/{uuid}.png. [email protected] preserves absolute symlink targets when restoring symlink entries. The icon-source validator at packages/server/src/api/controllers/static/index.ts:259-268 resolves the icon source string against baseDir (path.resolve), checks resolvedSrc.startsWith(baseDir + path.sep) against that string, and calls fs.existsSync(resolvedSrc) which follows symbolic links to confirm the target exists. None of the three calls reject symbolic-link entries. packages/backend-core/src/objectStore/objectStore.ts:302 then calls (await fsp.open(path)).createReadStream() on the resolved path. fsp.open follows the symlink, the target file's bytes stream into MinIO, and the response of the asset-fetch endpoint returns those bytes verbatim. Result: a workspace-level builder reads any file the server process can open. This vulnerability is fixed in 3.39.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS