CRITICALCVE-2026-27702CVSS 9.9

Budibase: View Filter Map 関数における不安全な eval() によるリモートコード実行 (Budibase Cloud)

Q: CVE-2026-27702 — RCE in Budibase Cloudとは何ですか？

CVE-2026-27702は、Budibase Cloudにおける認証されたユーザーが任意のJavaScriptコードを実行できるリモートコード実行(RCE)脆弱性です。

Q: CVE-2026-27702 in Budibase Cloudに影響を受けますか？

Budibase Cloud (SaaS)を利用している場合は影響を受けます。自己ホスト環境はCouchDBのネイティブビューを使用しているため影響はありません。

Q: CVE-2026-27702 in Budibase Cloudを修正するにはどうすればよいですか？

Budibase Cloudをバージョン3.30.4以降にアップデートしてください。

Q: CVE-2026-27702は積極的に悪用されていますか？

現時点では公開PoCは確認されていませんが、RCE脆弱性であるため、悪用される可能性は高いと考えられます。

Q: CVE-2026-27702に関するBudibaseの公式アドバイザリはどこで入手できますか？

Budibaseのセキュリティアドバイザリページで確認できます。詳細はBudibaseの公式ドキュメントを参照してください。

プラットフォーム

nodejs

コンポーネント

budibase

修正版

3.30.5

3.30.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-27702は、Budibase Cloudにおける深刻なリモートコード実行(RCE)脆弱性です。この脆弱性により、認証されたユーザーはサーバー上で任意のJavaScriptコードを実行できるようになります。Budibase Cloud (SaaS)のみが影響を受け、自己ホスト環境はCouchDBのネイティブビューを使用しているため影響はありません。バージョン3.30.4で修正されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はBudibase Cloudのサーバー上で任意のコードを実行し、機密データへのアクセス、システム設定の変更、さらにはシステム全体の制御を奪う可能性があります。特に、app-serviceポッドの環境内に存在する情報が標的となる可能性があります。攻撃者は、この脆弱性を利用して、Budibaseアプリケーションのデータ、ユーザー情報、その他の機密情報を盗み出すことが可能です。また、他のシステムへの横展開も考えられます。

悪用の状況

この脆弱性は、Budibase Cloud (SaaS)に限定されており、自己ホスト環境には影響しません。公開されているPoCは現時点では確認されていませんが、RCE脆弱性であるため、悪用される可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明です。2026年2月25日に公開されました。

リスク対象者翻訳中…

Budibase Cloud users, particularly those on free tier accounts, are at immediate risk. Organizations relying on Budibase Cloud for critical applications or storing sensitive data are especially vulnerable. Shared hosting environments utilizing Budibase Cloud may also be at increased risk due to potential cross-tenant exploitation.

検出手順翻訳中…

• nodejs / server: Monitor Budibase Cloud logs for unusual JavaScript execution patterns or errors related to view filtering. Use journalctl to filter for errors containing 'eval' or 'inMemoryView.ts'. • generic web: Inspect Budibase Cloud application logs for suspicious requests targeting view endpoints. Use curl to test view endpoints with potentially malicious map functions and observe the response for unexpected behavior. • database (mongodb): While the vulnerability isn't directly in MongoDB, monitor MongoDB logs for unusual activity originating from the Budibase Cloud application pods.

攻撃タイムライン

2026-02-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート3 件の脅威レポート

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントbudibase

ベンダーosv

影響範囲修正版

< 3.30.4 – < 3.30.43.30.5

—3.30.4

弱点分類 (CWE)

CWE-20 CWE-94 CWE-95

タイムライン

予約済み2026-02-23
公開日2026-02-25
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずBudibase Cloudをバージョン3.30.4以降にアップデートすることを推奨します。アップデートが困難な場合は、一時的な緩和策として、Budibaseのアクセス制御を強化し、不要な権限を持つユーザーアカウントを削除することを検討してください。WAFやプロキシサーバーを使用して、悪意のあるJavaScriptコードの実行をブロックすることも有効です。Budibaseのログを監視し、異常なアクティビティを検出するためのルールを実装することも重要です。アップデート後、Budibaseのセキュリティ設定を確認し、脆弱性が修正されていることを確認してください。

修正方法

Budibase Cloud をバージョン 3.30.4 以降にアップデートしてください。このバージョンには、リモートコード実行の脆弱性に対する修正が含まれています。アップデートすることで、認証されたユーザーがサーバー上で任意の JavaScript コードを実行するリスクを軽減できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-27702 — RCE in Budibase Cloudとは何ですか？