CRITICALCVE-2026-35216CVSS 9

Budibase: WebhookトリガーとBash自動化ステップ経由の認証されていないリモートコード実行

Q: CVE-2026-35216 とは何ですか？（@budibase/server の Remote Code Execution (RCE)）

Webhook は、あるアプリケーションが別のアプリケーションにリアルタイムで情報を提供する手段です。この場合、Budibase Webhook は自動化をトリガーするために使用されます。

Q: @budibase/server の CVE-2026-35216 による影響を受けていますか？

root としての実行は、Budibase の特定の自動化ステップのデフォルト構成です。これにより、自動化は昇格された権限を必要とするタスクを実行できますが、脆弱性が悪用された場合にリスクも高まります。

Q: @budibase/server の CVE-2026-35216 を修正するにはどうすればよいですか？

すぐにアップデートできない場合は、ファイアウォールまたは ACL を使用してパブリック Webhook へのアクセスを制限することを検討してください。ただし、これは部分的な軽減策であり、アップデートが推奨される解決策です。

Q: CVE-2026-35216 は積極的に悪用されていますか？

Budibase 内の各自動化の構成を確認します。Bash コマンドを実行するように構成されたステップを探します。

Q: CVE-2026-35216 に関する @budibase/server の公式アドバイザリはどこで確認できますか？

現在、この脆弱性を検出するための自動化されたツールはありません。脆弱かどうかを判断する最良の方法は、実行している Budibase のバージョンを確認することです。

プラットフォーム

nodejs

コンポーネント

@budibase/server

修正版

3.33.5

3.33.4

AI Confidence: highNVDEPSS 0.6%レビュー済み: 2026年4月

NVDで見る

保存

CVE-2026-35216は、Budibaseに存在する認証なしでリモートコード実行（RCE）を可能にする脆弱性です。攻撃者は、公開Webhookエンドポイント経由でBashステップを含む自動化をトリガーすることで、Budibaseサーバー上で任意のコードを実行できます。影響を受けるのはバージョン3.33.4未満のBudibaseです。この問題はバージョン3.33.4で修正されています。

影響と攻撃シナリオ

Budibase の CVE-2026-35216 は、認証されていない攻撃者が Budibase サーバー上でリモートコード実行 (RCE) を達成することを可能にします。これは、パブリック Webhook エンドポイント経由で Bash ステップを含む自動化をトリガーすることによって実現されます。この脆弱性の深刻度は高く (CVSS 9.0)、その簡単な悪用と潜在的な影響によるものです。プロセスはコンテナ内で root として実行されるため、攻撃者がこの脆弱性を悪用した場合、システム全体を完全に制御できる可能性があります。Webhook エンドポイントの認証がないため、悪意のある自動化をトリガーするために必要な資格情報は何も必要なく、簡単に悪用できます。このリスクを軽減するために、バージョン 3.33.4 以降にアップデートすることが重要です。

悪用の状況

攻撃者は、Budibase のパブリック Webhook エンドポイントに HTTP POST リクエストを送信することでこの脆弱性を悪用できます。このリクエストには、Bash ステップで構成された自動化をトリガーするデータが含まれている必要があります。Bash ステップには、コンテナ内で root 権限で実行される悪意のあるコマンドが含まれている可能性があります。認証が不要であるため、Budibase が実行されているネットワークにアクセスできる人は誰でも、この脆弱性を悪用できる可能性があります。悪用の容易さは、特にインターネットに公開されている環境にとって大きな懸念事項となっています。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.55% (68% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネント@budibase/server

ベンダーosv

影響範囲修正版

< 3.33.4 – < 3.33.43.33.5

—3.33.4

弱点分類 (CWE)

CWE-78

タイムライン

予約済み2026-04-01
公開日2026-04-04
EPSS 更新日2026-04-11

緩和策と回避策

CVE-2026-35216 を軽減するための主な解決策は、Budibase をバージョン 3.33.4 以降にアップデートすることです。このバージョンには、パブリック Webhook を介して任意の Bash コマンドの実行を防止する修正が含まれています。さらに、悪用される可能性のある既存のすべての自動化をレビューして、Bash ステップを識別および削除します。予防措置として、ファイアウォールまたはアクセス制御リスト (ACL) を使用してパブリック Webhook へのアクセスを制限することを検討してください。ただし、アップデートが最も効果的な解決策です。Budibase サーバーログを監視して、Webhook に関連する疑わしいアクティビティを検出し、対応することも役立ちます。

修正方法翻訳中…

Actualice Budibase a la versión 3.33.4 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código no autenticada a través de webhooks y pasos de automatización Bash. La actualización evitará que atacantes no autenticados ejecuten código arbitrario en el servidor.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35216 とは何ですか？（@budibase/server の Remote Code Execution (RCE)）