Plattform
nodejs
Komponente
@budibase/server
Behoben in
3.33.5
3.33.4
CVE-2026-35216 represents a critical Remote Code Execution (RCE) vulnerability affecting the Budibase server. An unauthenticated attacker can exploit this flaw by triggering an automation with a Bash step through the public webhook endpoint, resulting in arbitrary code execution. This vulnerability impacts versions of Budibase prior to 3.33.4, and a patch is available in version 3.33.4.
Die CVE-2026-35216-Schwachstelle in Budibase ermöglicht einem nicht authentifizierten Angreifer, Remote Code Execution (RCE) auf dem Budibase-Server zu erreichen. Dies wird erreicht, indem eine Automatisierung ausgelöst wird, die einen Bash-Schritt über den öffentlichen Webhook-Endpunkt enthält. Die Schwere dieser Schwachstelle ist hoch (CVSS 9.0) aufgrund der einfachen Ausnutzbarkeit und des potenziellen Einwirkens. Der Prozess wird als root innerhalb des Containers ausgeführt, was bedeutet, dass ein erfolgreicher Angreifer die vollständige Kontrolle über das System übernehmen könnte. Das Fehlen einer Authentifizierung am Webhook-Endpunkt macht die Ausnutzung trivial, da keine Anmeldeinformationen erforderlich sind, um die bösartige Automatisierung zu aktivieren. Es ist entscheidend, das Update auf Version 3.33.4 oder höher anzuwenden, um dieses Risiko zu mindern.
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine HTTP-POST-Anfrage an den öffentlichen Webhook-Endpunkt von Budibase sendet. Diese Anfrage muss Daten enthalten, die eine Automatisierung auslösen, die mit einem Bash-Schritt konfiguriert ist. Der Bash-Schritt kann bösartige Befehle enthalten, die mit Root-Rechten innerhalb des Containers ausgeführt werden. Da keine Authentifizierung erforderlich ist, kann jeder, der Zugriff auf das Netzwerk hat, auf dem Budibase ausgeführt wird, potenziell diese Schwachstelle ausnutzen. Die einfache Ausnutzbarkeit macht sie zu einem bedeutenden Problem, insbesondere für Umgebungen mit Internetexposition.
Exploit-Status
EPSS
0.55% (68% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Lösung zur Minderung von CVE-2026-35216 ist die Aktualisierung von Budibase auf Version 3.33.4 oder höher. Diese Version enthält eine Korrektur, die die Ausführung von beliebigen Bash-Befehlen über den öffentlichen Webhook verhindert. Überprüfen Sie außerdem alle bestehenden Automatisierungen, um Bash-Schritte zu identifizieren und zu entfernen, die ausgenutzt werden könnten. Als Vorsichtsmaßnahme sollten Sie den Zugriff auf den öffentlichen Webhook mithilfe einer Firewall oder einer Zugriffskontrollliste (ACL) einschränken, obwohl das Update die effektivste Lösung ist. Die Überwachung der Budibase-Serverprotokolle auf verdächtige Aktivitäten im Zusammenhang mit dem Webhook kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen und darauf zu reagieren.
Actualice Budibase a la versión 3.33.4 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código no autenticada a través de webhooks y pasos de automatización Bash. La actualización evitará que atacantes no autenticados ejecuten código arbitrario en el servidor.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein Webhook ist eine Möglichkeit für eine Anwendung, eine andere Anwendung in Echtzeit mit Informationen zu versorgen. In diesem Fall wird der Budibase-Webhook verwendet, um Automatisierungen auszulösen.
Die Ausführung als Root ist eine Standardkonfiguration in Budibase für bestimmte Automatisierungsschritte. Dies ermöglicht Automatisierungen, Aufgaben auszuführen, die erhöhte Berechtigungen erfordern, erhöht aber auch das Risiko, wenn die Schwachstelle ausgenutzt wird.
Wenn Sie nicht sofort aktualisieren können, sollten Sie den Zugriff auf den öffentlichen Webhook mithilfe einer Firewall oder ACL einschränken. Dies ist jedoch nur eine teilweise Minderung, und das Update ist die empfohlene Lösung.
Überprüfen Sie die Konfiguration jeder Automatisierung in Budibase. Suchen Sie nach solchen, die einen Schritt haben, der für die Ausführung von Bash-Befehlen konfiguriert ist.
Derzeit gibt es keine automatisierten Tools, um diese Schwachstelle zu erkennen. Der beste Weg, um festzustellen, ob Sie anfällig sind, ist die Überprüfung der Version von Budibase, die Sie ausführen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.