W Budibase przed wersją 3.33.4 istnieje podatność typu SSRF w konektorze REST datasource. Mechanizm ochrony przed SSRF oparty na blackliście IP jest domyślnie całkowicie nieaktywny, co umożliwia atakującemu wysyłanie żądań do dowolnych zasobów sieciowych z poziomu serwera.
▸ Pokaż oryginał (EN)
Budibase is an open-source low-code platform. Prior to version 3.33.4, a server-side request forgery (SSRF) vulnerability exists in Budibase's REST datasource connector. The platform's SSRF protection mechanism (IP blacklist) is rendered completely ineffective because the BLACKLIST_IPS environment variable is not set by default in any of the official deployment configurations. When this variable is empty, the blacklist function unconditionally returns false, allowing all requests through without restriction. This issue has been patched in version 3.33.4.
Zmienna środowiskowa BLACKLIST_IPS, odpowiedzialna za definiowanie listy blokowanych adresów IP, nie jest ustawiana domyślnie w żadnej z oficjalnych konfiguracji wdrożeniowych Budibase. Gdy zmienna ta jest pusta, funkcja sprawdzająca blacklistę bezwarunkowo zwraca wartość false, przepuszczając wszystkie żądania bez jakiejkolwiek weryfikacji. Uwierzytelniony użytkownik może zatem poprzez konektor REST datasource skierować serwer do wykonania żądań HTTP do dowolnych wewnętrznych lub zewnętrznych zasobów sieciowych. Podatność obejmuje CWE-918 (SSRF) oraz CWE-1188 (insecure default initialization).
Atakujący z dostępem do konta użytkownika może uzyskać dostęp do wewnętrznych zasobów infrastruktury sieciowej (np. usług metadanych chmury, systemów wewnętrznych niedostępnych publicznie) oraz potencjalnie eksfiltrować poufne dane lub naruszyć integralność wewnętrznych systemów.
Należy zaktualizować Budibase do wersji 3.33.4 lub nowszej, w której podatność została załatana. Jako obejście tymczasowe można ręcznie ustawić zmienną środowiskową BLACKLIST_IPS zgodnie z zaleceniami producenta opisanymi w referencjach.
Budibase w wersjach przed 3.33.4 — dotyczy wszystkich oficjalnych konfiguracji wdrożeniowych, w których zmienna BLACKLIST_IPS nie jest ręcznie ustawiona
Poprawka dostępna w commicie 5b0fe83d4ece52696b62589cba89ef50cc009732 oraz w wydaniu 3.33.4. Szczegóły opublikowane w ramach GitHub Security Advisory GHSA-7r9j-r86q-7g45.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:NBudibase
APPBudibase< 3.33.4
Powiązane podatności
Budibase: path traversal przez symlink w endpoint przetwarzania ZIP
SQL/NoSQL Injection w Budibase — nieautoryzowany odczyt i zapis danych
Budibase: pominięcie uwierzytelnienia przez manipulację query string
Budibase: nieuwierzytelniony RCE przez publiczny webhook i krok Bash
Path Traversal w Budibase — odczyt dowolnych plików przez endpoint PWA ZIP