CRITICAL🇬🇧 English

CVE-2026-31818

SSRF w Budibase — nieaktywna ochrona blacklisty IP umożliwia dowolne żądania

CVSS 9.6v3.1pub. 2026-04-03upd. 2026-04-08

W Budibase przed wersją 3.33.4 istnieje podatność typu SSRF w konektorze REST datasource. Mechanizm ochrony przed SSRF oparty na blackliście IP jest domyślnie całkowicie nieaktywny, co umożliwia atakującemu wysyłanie żądań do dowolnych zasobów sieciowych z poziomu serwera.

Pokaż oryginał (EN)

Budibase is an open-source low-code platform. Prior to version 3.33.4, a server-side request forgery (SSRF) vulnerability exists in Budibase's REST datasource connector. The platform's SSRF protection mechanism (IP blacklist) is rendered completely ineffective because the BLACKLIST_IPS environment variable is not set by default in any of the official deployment configurations. When this variable is empty, the blacklist function unconditionally returns false, allowing all requests through without restriction. This issue has been patched in version 3.33.4.

🤖 Analiza AI
Jak działa

Zmienna środowiskowa BLACKLIST_IPS, odpowiedzialna za definiowanie listy blokowanych adresów IP, nie jest ustawiana domyślnie w żadnej z oficjalnych konfiguracji wdrożeniowych Budibase. Gdy zmienna ta jest pusta, funkcja sprawdzająca blacklistę bezwarunkowo zwraca wartość false, przepuszczając wszystkie żądania bez jakiejkolwiek weryfikacji. Uwierzytelniony użytkownik może zatem poprzez konektor REST datasource skierować serwer do wykonania żądań HTTP do dowolnych wewnętrznych lub zewnętrznych zasobów sieciowych. Podatność obejmuje CWE-918 (SSRF) oraz CWE-1188 (insecure default initialization).

Skutki

Atakujący z dostępem do konta użytkownika może uzyskać dostęp do wewnętrznych zasobów infrastruktury sieciowej (np. usług metadanych chmury, systemów wewnętrznych niedostępnych publicznie) oraz potencjalnie eksfiltrować poufne dane lub naruszyć integralność wewnętrznych systemów.

Mitygacja

Należy zaktualizować Budibase do wersji 3.33.4 lub nowszej, w której podatność została załatana. Jako obejście tymczasowe można ręcznie ustawić zmienną środowiskową BLACKLIST_IPS zgodnie z zaleceniami producenta opisanymi w referencjach.

Kogo dotyczy

Budibase w wersjach przed 3.33.4 — dotyczy wszystkich oficjalnych konfiguracji wdrożeniowych, w których zmienna BLACKLIST_IPS nie jest ręcznie ustawiona

Uwagi

Poprawka dostępna w commicie 5b0fe83d4ece52696b62589cba89ef50cc009732 oraz w wydaniu 3.33.4. Szczegóły opublikowane w ramach GitHub Security Advisory GHSA-7r9j-r86q-7g45.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Budibase

    APP
    Budibase
    < 3.33.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SSRF
CWE
Referencje

Powiązane podatności

CVE-2026-54352CRITICAL9.6PL ✓ten sam produkt

Budibase: path traversal przez symlink w endpoint przetwarzania ZIP

CVE-2026-54350CRITICAL10.0PL ✓ten sam produkt

SQL/NoSQL Injection w Budibase — nieautoryzowany odczyt i zapis danych

CVE-2026-41428CRITICAL9.1PL ✓ten sam produkt

Budibase: pominięcie uwierzytelnienia przez manipulację query string

CVE-2026-35216CRITICAL9.0PL ✓ten sam produkt

Budibase: nieuwierzytelniony RCE przez publiczny webhook i krok Bash

CVE-2026-30240CRITICAL9.6PL ✓ten sam produkt

Path Traversal w Budibase — odczyt dowolnych plików przez endpoint PWA ZIP