प्लेटफ़ॉर्म
nodejs
घटक
@budibase/server
में ठीक किया गया
3.33.5
3.33.4
CVE-2026-35216 Budibase में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। एक अप्रमाणित हमलावर सार्वजनिक वेबहुक एंडपॉइंट के माध्यम से एक स्वचालन को ट्रिगर करके Budibase सर्वर पर RCE प्राप्त कर सकता है। यह प्रक्रिया कंटेनर के अंदर रूट के रूप में निष्पादित होती है। यह भेद्यता Budibase के 3.33.4 से पहले के संस्करणों को प्रभावित करती है। संस्करण 3.33.4 में इस समस्या को ठीक कर दिया गया है।
Budibase में CVE-2026-35216 एक गैर-प्रमाणित हमलावर को Budibase सर्वर पर रिमोट कोड एग्जीक्यूशन (RCE) प्राप्त करने की अनुमति देता है। यह सार्वजनिक वेबहुक एंडपॉइंट के माध्यम से Bash स्टेप वाले ऑटोमेशन को ट्रिगर करके हासिल किया जाता है। इस भेद्यता की गंभीरता उच्च है (CVSS 9.0) इसकी आसानी से शोषण और संभावित प्रभाव के कारण। प्रक्रिया कंटेनर के अंदर root के रूप में चलती है, जिसका अर्थ है कि एक सफल हमलावर सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकता है। वेबहुक एंडपॉइंट पर प्रमाणीकरण की कमी शोषण को सरल बनाती है, क्योंकि दुर्भावनापूर्ण ऑटोमेशन को सक्रिय करने के लिए किसी भी क्रेडेंशियल की आवश्यकता नहीं होती है। इस जोखिम को कम करने के लिए संस्करण 3.33.4 या बाद के संस्करण में अपडेट करना महत्वपूर्ण है।
एक हमलावर Budibase के सार्वजनिक वेबहुक एंडपॉइंट पर HTTP POST अनुरोध भेजकर इस भेद्यता का शोषण कर सकता है। इस अनुरोध में डेटा शामिल होना चाहिए जो Bash स्टेप के साथ कॉन्फ़िगर किए गए ऑटोमेशन को ट्रिगर करता है। Bash स्टेप में दुर्भावनापूर्ण कमांड शामिल हो सकते हैं जो कंटेनर के अंदर रूट विशेषाधिकारों के साथ निष्पादित किए जाएंगे। चूंकि प्रमाणीकरण की आवश्यकता नहीं है, इसलिए Budibase चल रहे नेटवर्क तक पहुंच रखने वाला कोई भी व्यक्ति संभावित रूप से इस भेद्यता का शोषण कर सकता है। शोषण की सरलता इसे एक महत्वपूर्ण चिंता का विषय बनाती है, खासकर इंटरनेट के संपर्क में आने वाले वातावरण में।
एक्सप्लॉइट स्थिति
EPSS
0.55% (68% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35216 को कम करने का मुख्य समाधान Budibase को संस्करण 3.33.4 या बाद के संस्करण में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो सार्वजनिक वेबहुक के माध्यम से मनमाना Bash कमांड के निष्पादन को रोकता है। इसके अतिरिक्त, संभावित रूप से शोषण किए जा सकने वाले Bash स्टेप्स की पहचान करने और हटाने के लिए सभी मौजूदा ऑटोमेशन की समीक्षा करें। एक निवारक उपाय के रूप में, फ़ायरवॉल या एक्सेस कंट्रोल लिस्ट (ACL) का उपयोग करके सार्वजनिक वेबहुक तक पहुंच को प्रतिबंधित करने पर विचार करें, हालांकि अपडेट सबसे प्रभावी समाधान है। Budibase सर्वर लॉग की निगरानी वेबहुक से संबंधित संदिग्ध गतिविधि के लिए भी संभावित शोषण प्रयासों का पता लगाने और उनका जवाब देने में मदद कर सकती है।
Actualice Budibase a la versión 3.33.4 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código no autenticada a través de webhooks y pasos de automatización Bash. La actualización evitará que atacantes no autenticados ejecuten código arbitrario en el servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
वेबहुक एक एप्लिकेशन को दूसरे एप्लिकेशन को रीयल-टाइम जानकारी प्रदान करने का एक तरीका है। इस मामले में, Budibase वेबहुक का उपयोग ऑटोमेशन को ट्रिगर करने के लिए किया जाता है।
रूट के रूप में निष्पादन Budibase में कुछ ऑटोमेशन स्टेप्स के लिए डिफ़ॉल्ट कॉन्फ़िगरेशन है। यह ऑटोमेशन को उन्नत विशेषाधिकारों की आवश्यकता वाले कार्यों को करने की अनुमति देता है, लेकिन यदि भेद्यता का शोषण किया जाता है तो यह जोखिम भी बढ़ाता है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो फ़ायरवॉल या ACL का उपयोग करके सार्वजनिक वेबहुक तक पहुंच को प्रतिबंधित करने पर विचार करें। हालांकि, यह केवल आंशिक शमन है, और अपडेट अनुशंसित समाधान है।
Budibase में प्रत्येक ऑटोमेशन के कॉन्फ़िगरेशन की समीक्षा करें। Bash कमांड चलाने के लिए कॉन्फ़िगर किए गए लोगों की तलाश करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई स्वचालित उपकरण उपलब्ध नहीं हैं। यह निर्धारित करने का सबसे अच्छा तरीका है कि आप भेद्य हैं या नहीं, यह जांचना है कि आप Budibase का कौन सा संस्करण चला रहे हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।