प्लेटफ़ॉर्म
nodejs
घटक
node.js
में ठीक किया गया
3.33.5
3.33.4
3.33.5
CVE-2026-35214 Budibase में एक पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को हटाने और लिखने की अनुमति देती है, जिससे सिस्टम की सुरक्षा को खतरा हो सकता है। यह भेद्यता Budibase के संस्करणों 3.33.4 से कम या उसके बराबर को प्रभावित करती है। संस्करण 3.33.4 में इस समस्या का समाधान किया गया है।
यह भेद्यता Budibase प्लेटफ़ॉर्म पर गंभीर प्रभाव डाल सकती है। एक हमलावर, जिसके पास ग्लोबल बिल्डर विशेषाधिकार हैं, एक दुर्भावनापूर्ण मल्टीपार्ट अपलोड बनाकर मनमाने ढंग से निर्देशिकाओं को rmSync के माध्यम से हटा सकता है और tarball निष्कर्षण के माध्यम से किसी भी फ़ाइल सिस्टम पथ पर मनमाने ढंग से फ़ाइलें लिख सकता है जिसे Node.js प्रक्रिया एक्सेस कर सकती है। यह डेटा हानि, सिस्टम समझौता और संभावित रूप से दूरस्थ कोड निष्पादन का कारण बन सकता है। चूंकि Budibase अक्सर संवेदनशील डेटा को संभालने के लिए उपयोग किया जाता है, इसलिए इस भेद्यता का शोषण डेटा उल्लंघनों और अन्य सुरक्षा घटनाओं को जन्म दे सकता है।
CVE-2026-35214 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर और पथ पारगमन भेद्यता की प्रकृति के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन इस भेद्यता का शोषण करने के लिए एक PoC का विकास संभव है। CISA ने इस CVE को अपनी ज्ञात भेद्यता सूची (KEV) में शामिल नहीं किया है।
Budibase deployments where users have Global Builder privileges are at the highest risk. Shared hosting environments running Budibase are particularly vulnerable, as a compromised user account could potentially impact the entire host. Organizations relying on Budibase for sensitive data or critical business processes should prioritize patching.
• linux / server: Monitor Node.js process logs for suspicious file deletion or creation activity. Use lsof or fuser to identify processes accessing unusual file paths.
lsof | grep /path/to/suspicious/file• generic web: Examine access logs for POST requests to /api/plugin/upload with filenames containing ../ sequences.
grep 'POST /api/plugin/upload.*\.\\.' access.log• windows / supply-chain: Monitor PowerShell execution logs for commands related to file manipulation or tarball extraction within the Budibase process. Use Windows Defender to scan for suspicious files created during the upload process.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.14% (35% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35214 के लिए प्राथमिक शमन उपाय Budibase को संस्करण 3.33.4 या बाद के संस्करण में अपग्रेड करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अपलोड एंडपॉइंट (POST /api/plugin/upload) पर सख्त फ़ाइल नाम सत्यापन लागू करने पर विचार करें। यह सुनिश्चित करें कि अपलोड की गई फ़ाइलों में पथ पारगमन अनुक्रम (जैसे '../') शामिल नहीं हैं। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को कॉन्फ़िगर करें ताकि पथ पारगमन प्रयासों का पता लगाया जा सके और उन्हें अवरुद्ध किया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, अपलोड एंडपॉइंट के माध्यम से दुर्भावनापूर्ण फ़ाइलें अपलोड करने का प्रयास करके।
Actualice Budibase a la versión 3.33.4 o superior. Esta versión corrige la vulnerabilidad de path traversal en la carga de plugins, evitando la eliminación arbitraria de directorios y la escritura de archivos en el sistema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35214 Budibase में एक पथ पारगमन भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों को हटाने और लिखने की अनुमति देती है। यह संस्करण 3.33.4 से पहले के संस्करणों को प्रभावित करता है।
यदि आप Budibase के संस्करण 3.33.4 से पहले का संस्करण चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-35214 को ठीक करने के लिए, Budibase को संस्करण 3.33.4 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-35214 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन यह शोषण के लिए एक संभावित लक्ष्य है।
Budibase की आधिकारिक सलाहकार जानकारी के लिए Budibase की वेबसाइट या उनके सुरक्षा घोषणाओं की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।