CRITICAL🇬🇧 English

CVE-2026-41428

Budibase: pominięcie uwierzytelnienia przez manipulację query string

CVSS 9.1v3.1pub. 2026-04-24upd. 2026-04-28

Podatność w platformie Budibase umożliwia nieuwierzytelnionemu atakującemu dostęp do chronionych endpointów API poprzez dołączenie publicznej ścieżki jako parametru query string. Luka jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

Budibase is an open-source low-code platform. Prior to 3.35.4, the authenticated middleware uses unanchored regular expressions to match public (no-auth) endpoint patterns against ctx.request.url. Since ctx.request.url in Koa includes the query string, an attacker can access any protected endpoint by appending a public endpoint path as a query parameter. For example, POST /api/global/users/search?x=/api/system/status bypasses all authentication because the regex /api/system/status/ matches in the query string portion of the URL. This vulnerability is fixed in 3.35.4.

🤖 Analiza AI
Jak działa

Middleware odpowiedzialny za uwierzytelnienie używa niezakotwiczonych wyrażeń regularnych (unanchored regular expressions) do dopasowywania wzorców publicznych endpointów względem pełnego adresu URL żądania. W frameworku Koa pole ctx.request.url zawiera również query string, co sprawia, że wyrażenie regularne dopasowuje nie tylko ścieżkę właściwą, ale także część parametrów zapytania. Atakujący może zatem wysłać żądanie do chronionego endpointu (np. POST /api/global/users/search) i dołączyć w query stringu publiczną ścieżkę (np. ?x=/api/system/status), co powoduje fałszywe dopasowanie przez wyrażenie regularne i pominięcie całej weryfikacji tożsamości.

Skutki

Atakujący bez żadnych uprawnień może uzyskać dostęp do dowolnego chronionego endpointu API, co prowadzi do nieuprawnionego odczytu wrażliwych danych oraz potencjalnego zakłócenia działania systemu (zgodnie z wektorem CVSS: wysoki wpływ na poufność i dostępność).

Mitygacja

Należy zaktualizować Budibase do wersji 3.35.4 lub nowszej, w której podatność została naprawiona poprzez poprawne zakotwiczenie wyrażeń regularnych używanych w middleware uwierzytelnienia.

Kogo dotyczy

Budibase w wersjach wcześniejszych niż 3.35.4

Uwagi

Podatność dotyczy mechanizmu dopasowania wyrażeń regularnych w middleware Koa. Szczegóły techniczne oraz advisory dostępne są w repozytorium GitHub projektu Budibase (GHSA-8783-3wgf-jggf).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
  • Budibase

    APP
    Budibase
    < 3.35.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-54350CRITICAL10.0PL ✓ten sam produkt

SQL/NoSQL Injection w Budibase — nieautoryzowany odczyt i zapis danych

CVE-2026-54352CRITICAL9.6PL ✓ten sam produkt

Budibase: path traversal przez symlink w endpoint przetwarzania ZIP

CVE-2026-31818CRITICAL9.6PL ✓ten sam produkt

SSRF w Budibase — nieaktywna ochrona blacklisty IP umożliwia dowolne żądania

CVE-2026-35216CRITICAL9.0PL ✓ten sam produkt

Budibase: nieuwierzytelniony RCE przez publiczny webhook i krok Bash

CVE-2026-30240CRITICAL9.6PL ✓ten sam produkt

Path Traversal w Budibase — odczyt dowolnych plików przez endpoint PWA ZIP