Budibase : XSS stocké via des noms d’entités non assainis rendus avec {@html} dans la palette de commandes Builder

Budibase est une plateforme open source à faible code. Avant la version 3.32.5, la palette de commandes Builder de Budibase affiche les noms d’entités (tables, vues, requêtes, automatisations) à l’aide de la directive {@html} de Svelte sans aucune désinfection. Un utilisateur authentifié avec un accès Builder peut créer une table, une automatisation, une vue ou une requête dont le nom contient une charge utile HTML (par exemple, <img src=x onerror=alert(document.domain)>). Lorsque n’importe quel utilisateur avec le rôle Builder dans le même espace de travail ouvre la palette de commandes (Ctrl+K), la charge utile s’exécute dans son navigateur, volant son cookie de session et permettant une prise de contrôle complète du compte. Ce problème a été corrigé dans la version 3.32.5.