Plataforma
nodejs
Componente
budibase
Corregido en
3.31.6
Se ha descubierto una vulnerabilidad de recorrido de ruta (Path Traversal) en Budibase, una plataforma de código bajo para crear herramientas internas, flujos de trabajo y paneles de administración. Esta vulnerabilidad, presente en versiones 3.31.5 y anteriores, permite a un usuario autenticado con privilegios de constructor leer archivos arbitrarios del sistema de archivos del servidor. La vulnerabilidad reside en el endpoint de procesamiento de ZIP de PWA (POST /api/pwa/process-zip) y afecta a la versión 3.31.5 y anteriores. Se recomienda actualizar a la versión corregida o implementar medidas de mitigación.
La vulnerabilidad de recorrido de ruta en Budibase permite a un atacante autenticado con privilegios de constructor acceder a archivos sensibles en el servidor. Específicamente, el atacante puede leer el archivo /proc/1/environ, que contiene todas las variables de entorno del proceso. Esto incluye información crítica como secretos de JSON Web Tokens (JWT), credenciales de bases de datos, claves de cifrado y tokens de API. La exposición de estos secretos podría permitir al atacante comprometer completamente la instancia de Budibase, obtener acceso a datos confidenciales, realizar modificaciones no autorizadas y potencialmente escalar privilegios para acceder a otros sistemas en la red. La gravedad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial impacto en la confidencialidad e integridad de los datos.
Esta vulnerabilidad ha sido publicada el 9 de marzo de 2026. No se ha reportado explotación activa en entornos de producción, pero la naturaleza crítica de la vulnerabilidad y la disponibilidad de información técnica la convierten en un objetivo atractivo para los atacantes. La vulnerabilidad se basa en una falta de validación adecuada de la entrada del usuario en el procesamiento de archivos ZIP, similar a patrones de explotación observados en otras vulnerabilidades de recorrido de ruta. Se recomienda monitorear activamente los sistemas Budibase para detectar cualquier actividad sospechosa.
Organizations using Budibase for internal tool development and deployment are at risk, particularly those with builder roles granted to multiple users. Shared hosting environments where multiple Budibase instances share the same server filesystem are especially vulnerable, as a compromise of one instance could lead to access to data from other instances. Legacy Budibase configurations with default or weak credentials also increase the risk.
• nodejs / server: Monitor logs for requests to /api/pwa/process-zip with unusual or unexpected file paths in the icons.json payload. Look for attempts to access files outside the expected directory.
grep -r 'path/outside/expected/directory' /var/log/budibase/*• linux / server: Use lsof to monitor file access by the Budibase process. Look for access to sensitive files like /proc/1/environ.
lsof -p $(pgrep budibase) | grep /proc/1/environ• generic web: Use curl to test the /api/pwa/process-zip endpoint with crafted icons.json payloads attempting to read arbitrary files. Check the response for file content.
curl -X POST -d '{"icons": [{"url": "/etc/passwd"}]}' http://<budibase_host>/api/pwa/process-zipdisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Budibase a una versión corregida que solucione el problema de recorrido de ruta. Si la actualización inmediata no es posible, se pueden implementar medidas de mitigación temporales. Restrinja el acceso al endpoint /api/pwa/process-zip solo a usuarios autenticados y autorizados. Implemente reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Revise y endurezca la configuración del servidor para limitar los permisos de lectura de los usuarios de Budibase. Monitoree los registros del servidor en busca de intentos de acceso a archivos no autorizados. Si se sospecha de una intrusión, cambie inmediatamente las contraseñas de todas las cuentas de usuario y las claves de API.
Actualice Budibase a una versión posterior a la 3.31.5. Esto solucionará la vulnerabilidad de path traversal en el procesamiento de archivos ZIP de la PWA.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-30240 is a critical path traversal vulnerability in Budibase versions up to 3.31.5, allowing authenticated users to read arbitrary files, potentially exposing sensitive data like JWT secrets and database credentials.
You are affected if you are running Budibase version 3.31.5 or earlier. Immediately assess your environment and apply the necessary patch.
Upgrade Budibase to the latest patched version as recommended in the official Budibase security advisory. Implement temporary workarounds like input validation if immediate upgrading is not possible.
While there are no confirmed active exploits currently, the vulnerability's ease of exploitation makes it a high-priority concern and a potential target for attackers.
Refer to the official Budibase security advisory for detailed information and remediation steps. Check the Budibase website and security announcement channels for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.