Plateforme
nodejs
Composant
node.js
Corrigé dans
3.33.5
3.33.4
3.33.5
Une vulnérabilité de type Path Traversal a été découverte dans Budibase, une plateforme low-code open-source. Avant la version 3.33.4, le point d'entrée de téléversement de plugins (POST /api/plugin/upload) ne valide pas correctement les séquences de traversal de chemin dans le nom de fichier fourni par l'utilisateur. Cette faille permet à un attaquant disposant de privilèges Global Builder de supprimer des répertoires et d'écrire des fichiers arbitraires sur le système de fichiers.
Cette vulnérabilité permet à un attaquant disposant des privilèges Global Builder de contourner les contrôles d'accès et d'interagir directement avec le système de fichiers du serveur Budibase. Un attaquant pourrait exploiter cette faille pour supprimer des fichiers critiques, écraser des fichiers de configuration, ou même exécuter du code malveillant en téléversant des fichiers spécialement conçus. Le risque est particulièrement élevé car l'attaquant peut potentiellement compromettre l'ensemble de l'environnement Budibase, affectant potentiellement les données et les applications hébergées.
Cette vulnérabilité a été rendue publique le 3 avril 2026. Bien qu'aucune preuve d'exploitation active n'ait été signalée à ce jour, la nature de la vulnérabilité (Path Traversal) et la disponibilité des privilèges Global Builder en font une cible potentielle pour les attaquants. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Budibase deployments where users have Global Builder privileges are at the highest risk. Shared hosting environments running Budibase are particularly vulnerable, as a compromised user account could potentially impact the entire host. Organizations relying on Budibase for sensitive data or critical business processes should prioritize patching.
• linux / server: Monitor Node.js process logs for suspicious file deletion or creation activity. Use lsof or fuser to identify processes accessing unusual file paths.
lsof | grep /path/to/suspicious/file• generic web: Examine access logs for POST requests to /api/plugin/upload with filenames containing ../ sequences.
grep 'POST /api/plugin/upload.*\.\\.' access.log• windows / supply-chain: Monitor PowerShell execution logs for commands related to file manipulation or tarball extraction within the Budibase process. Use Windows Defender to scan for suspicious files created during the upload process.
disclosure
Statut de l'Exploit
EPSS
0.14% (percentile 35%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour Budibase vers la version 3.33.4 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est fortement recommandé de restreindre l'accès aux privilèges Global Builder au strict minimum nécessaire. Il est également possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin dans le nom de fichier. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute tentative d'exploitation de cette vulnérabilité.
Actualice Budibase a la versión 3.33.4 o superior. Esta versión corrige la vulnerabilidad de path traversal en la carga de plugins, evitando la eliminación arbitraria de directorios y la escritura de archivos en el sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35214 is a Path Traversal vulnerability in Budibase versions prior to 3.33.4, allowing attackers with Global Builder privileges to delete and write files.
You are affected if you are running Budibase version 3.33.4 or earlier and have users with Global Builder privileges.
Upgrade Budibase to version 3.33.4 or later. As a temporary workaround, implement a WAF rule to block requests with path traversal sequences in filenames.
There is currently no confirmed active exploitation, but the vulnerability's nature suggests a potential for future attacks.
Refer to the official Budibase security advisory for detailed information and updates: [https://budibase.com/security/advisories](https://budibase.com/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.