Budibaseはオープンソースのローコードプラットフォームです。バージョン3.33.4より前は、プラグインファイルアップロードエンドポイント (POST /api/plugin/upload) が、ユーザーが提供したファイル名をsanitizeせずにcreateTempFolder()に直接渡していました。Global Builder権限を持つ攻撃者は、multipartアップロードを作成し、ファイル名に../を含めることで、rmSyncを介して任意のディレクトリを削除したり、tarball抽出を介してNode.jsプロセスがアクセスできるファイルシステム上の任意のパスに任意のファイルを書き込んだりすることができます。この問題

この脆弱性は、攻撃者がBudibaseのプラグインファイルアップロードエンドポイントに特別に細工されたファイル名を送信することで悪用されます。ファイル名に../のようなパス・トラバーサルシーケンスが含まれている場合、Budibaseはそれを適切に検証せずにcreateTempFolder()関数に渡します。これにより、攻撃者はrmSyncコマンドを使用して任意のディレクトリを削除したり、tarball抽出を通じて任意のファイルシステムパスにファイルを書き込んだりすることができます。攻撃者は、Global Builder権限を持っている必要があります。この脆弱性は、機密情報の漏洩、システムの改ざん、さらには完全なシステム制御につながる可能性があります。

Budibase deployments where users have Global Builder privileges are at the highest risk. Shared hosting environments running Budibase are particularly vulnerable, as a compromised user account could potentially impact the entire host. Organizations relying on Budibase for sensitive data or critical business processes should prioritize patching.

• linux / server: Monitor Node.js process logs for suspicious file deletion or creation activity. Use lsof or fuser to identify processes accessing unusual file paths.

lsof | grep /path/to/suspicious/file

• generic web: Examine access logs for POST requests to /api/plugin/upload with filenames containing ../ sequences.

grep 'POST /api/plugin/upload.*\.\\.' access.log

• windows / supply-chain: Monitor PowerShell execution logs for commands related to file manipulation or tarball extraction within the Budibase process. Use Windows Defender to scan for suspicious files created during the upload process.

1. 2026-04-03Disclosure

   disclosure

1. 予約済み2026-04-01
2. 公開日2026-04-03
3. 更新日2026-04-08
4. EPSS 更新日2026-04-11

この脆弱性への最良の対応策は、Budibaseをバージョン3.33.4以降にアップデートすることです。アップデートが利用できない場合、またはアップデートによってシステムに問題が発生する場合は、一時的な回避策として、ファイルアップロード機能へのアクセスを制限したり、ファイル名の検証を強化したりすることを検討してください。WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・ブロックするルールを設定することも有効です。また、Node.jsプロセスの権限を最小限に抑えることで、攻撃の影響範囲を限定できます。