Budibase is a low code platform for creating internal tools, workflows, and admin panels. In 3.24.0 and earlier, an arbitrary file upload vulnerability exists even though file extension restrictions are configured. The restriction is enforced only at the UI level. An attacker can bypass these restrictions and upload malicious files.
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:LBudibase
APPBudibase≤ 3.24.0
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
XSS
Related vulnerabilities
CVE-2026-54350CRITICAL10.0PL ✓ten sam produkt
SQL/NoSQL Injection w Budibase — nieautoryzowany odczyt i zapis danych
CVE-2026-54352CRITICAL9.6PL ✓ten sam produkt
Budibase: path traversal przez symlink w endpoint przetwarzania ZIP
CVE-2026-41428CRITICAL9.1PL ✓ten sam produkt
Budibase: pominięcie uwierzytelnienia przez manipulację query string
CVE-2026-31818CRITICAL9.6PL ✓ten sam produkt
SSRF w Budibase — nieaktywna ochrona blacklisty IP umożliwia dowolne żądania
CVE-2026-35216CRITICAL9.0PL ✓ten sam produkt
Budibase: nieuwierzytelniony RCE przez publiczny webhook i krok Bash