Plattform
nodejs
Komponente
budibase
Behoben in
3.32.6
CVE-2026-35218 is a cross-site scripting (XSS) vulnerability discovered in Budibase, an open-source low-code platform. This vulnerability allows an authenticated attacker with Builder access to inject malicious HTML into entity names, leading to potential session cookie theft and complete account takeover. The vulnerability affects versions of Budibase up to and including 3.32.5, and a fix is available in version 3.32.5.
CVE-2026-35218 in Budibase ermöglicht einem authentifizierten Benutzer mit Builder-Zugriff, bösartigen HTML-Code in Entitätsnamen (Tabellen, Ansichten, Abfragen, Automatisierungen) einzuschleusen. Vor Version 3.32.5 verwendet Budibase die {@html}-Direktive von Svelte, um diese Namen ohne ordnungsgemäße Bereinigung zu rendern. Dies bedeutet, dass ein Angreifer eine Entität mit einem Namen erstellen kann, der eine HTML-Payload enthält, z. B. ein <img>-Tag mit einem onerror-Attribut, das JavaScript ausführt. Wenn ein beliebiger Benutzer mit Builder-Rolle im selben Workspace das Command Palette (Strg+K) öffnet, wird diese Payload ausgeführt, was möglicherweise zur Offenlegung sensibler Informationen, zur Manipulation der Benutzeroberfläche oder, in schwerwiegenderen Fällen, zur Ausführung von beliebigem Code im Browser des Benutzers führen kann. Die CVSS-Schweregrad ist 8,7 (Hoch), was ein erhebliches Risiko anzeigt.
Ein Angreifer mit Builder-Zugriff kann diese Schwachstelle ausnutzen, indem er eine Entität (Tabelle, Ansicht, Abfrage oder Automatisierung) mit einem Namen erstellt, der eine bösartige HTML-Payload enthält. Diese Payload kann so einfach sein wie ein Pop-up-Alert oder so komplex wie ein Skript, das Cookies stiehlt oder den Benutzer auf eine bösartige Website umleitet. Sobald die Entität erstellt wurde, führt jeder Benutzer mit Builder-Zugriff, der das Command Palette (Strg+K) öffnet, die Payload aus. Die Ausnutzung ist relativ einfach und erfordert keine fortgeschrittenen technischen Kenntnisse, was das Risiko erhöht, dass sie von Angreifern mit unterschiedlichem Können ausgenutzt wird. Das Fehlen einer Bereinigung der Benutzereingabe ist die Ursache der Schwachstelle.
Organizations using Budibase for application development and deployment are at risk, particularly those with multiple users granted Builder access. Shared hosting environments where multiple Budibase instances are deployed on the same server could also be affected, as a compromise of one instance could potentially lead to lateral movement to others.
• nodejs / platform: Monitor Budibase logs for unusual JavaScript execution within the Command Palette.
grep -i 'onerror=alert' /var/log/budibase/app.log• nodejs / platform: Check for suspicious entities (tables, views, queries, automations) with unusual names containing HTML-like characters.
# Assuming you have access to the Budibase database
# Example query (adapt to your database schema)
SELECT name FROM entities WHERE name LIKE '%<img%' OR name LIKE '%<script%';• generic web: Monitor access logs for requests to the Command Palette endpoint with unusual parameters.
curl -I 'http://your-budibase-instance/command-palette?name=<script>alert(1)</script>'disclosure
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, Budibase auf Version 3.32.5 oder höher zu aktualisieren. Diese Version enthält eine ordnungsgemäße Bereinigung von Entitätsnamen und verhindert so die Ausführung von bösartigem HTML-Code. Es wird dringend empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko zu mindern. Überprüfen Sie außerdem vorhandene Entitäten auf verdächtige Namen, die möglicherweise vor dem Update erstellt wurden. Für Umgebungen, in denen ein sofortiges Update nicht möglich ist, sollten Sie den Zugriff auf den Builder auf vertrauenswürdige Benutzer beschränken und die Aktivität des Command Palette auf ungewöhnliches Verhalten überwachen. Budibase hat detaillierte Versionshinweise mit Upgrade-Anweisungen veröffentlicht.
Actualice Budibase a la versión 3.32.5 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la paleta de comandos del Builder. La actualización evitará la ejecución de código malicioso en el navegador de los usuarios con rol Builder.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Budibase ist eine Open-Source-Low-Code-Plattform, mit der Benutzer schnell und einfach Webanwendungen erstellen können.
Diese Schwachstelle könnte es einem Angreifer ermöglichen, bösartigen Code im Browser eines Benutzers mit Builder-Zugriff auszuführen.
Sie sollten Budibase so schnell wie möglich auf Version 3.32.5 oder höher aktualisieren.
Die Beschränkung des Zugriffs auf den Builder auf vertrauenswürdige Benutzer und die Überwachung der Aktivität des Command Palette können dazu beitragen, das Risiko zu mindern, aber das Update ist die effektivste Lösung.
Sie finden weitere Informationen in der Sicherheitswarnung von Budibase und im CVE-2026-35218-Eintrag.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.