プラットフォーム
nodejs
コンポーネント
budibase
修正版
3.32.6
CVE-2026-35218は、BudibaseのBuilder Command Paletteに存在するクロスサイトスクリプティング(XSS)の脆弱性です。この脆弱性を悪用すると、認証されたユーザーがHTMLペイロードを含むテーブル、自動化、ビュー、またはクエリを作成し、別のユーザーがCommand Paletteを開いた際にペイロードが実行され、セッションCookieが盗まれる可能性があります。影響を受けるのはバージョン3.32.5未満のBudibaseです。この問題はバージョン3.32.5で修正されています。
BudibaseのCVE-2026-35218は、Builderアクセス権を持つ認証済みユーザーが、エンティティ名(テーブル、ビュー、クエリ、自動化)に悪意のあるHTMLを挿入することを可能にします。バージョン3.32.5より前は、BudibaseはSvelteの{@html}ディレクティブを使用して、これらの名前を適切にサニタイズせずにレンダリングしていました。これは、攻撃者がHTMLペイロード(<img>タグのonerror属性によるJavaScript実行など)を含む名前でエンティティを作成できることを意味します。同じワークスペースのBuilderロールを持つユーザーがCommand Palette(Ctrl+K)を開くと、このペイロードが実行され、機密情報の漏洩、UIの操作、またはより深刻なケースでは、ユーザーのブラウザで任意のコードが実行される可能性があります。CVSSの深刻度は8.7(高)であり、重大なリスクを示しています。
Builderアクセス権を持つ攻撃者は、悪意のあるHTMLペイロードを含む名前でエンティティ(テーブル、ビュー、クエリ、または自動化)を作成することにより、この脆弱性を悪用できます。このペイロードは、ポップアップアラートのように単純なものから、Cookieを盗んだり、ユーザーを悪意のあるWebサイトにリダイレクトしたりするスクリプトのように複雑なものまであります。エンティティが作成されると、Command Palette(Ctrl+K)を開くBuilderアクセス権を持つすべてのユーザーがペイロードを実行します。悪用は比較的簡単で、高度な技術スキルを必要とせず、さまざまなスキルレベルの攻撃者による悪用のリスクを高めます。ユーザー入力のサニタイズの欠如が、この脆弱性の根本原因です。
Organizations using Budibase for application development and deployment are at risk, particularly those with multiple users granted Builder access. Shared hosting environments where multiple Budibase instances are deployed on the same server could also be affected, as a compromise of one instance could potentially lead to lateral movement to others.
• nodejs / platform: Monitor Budibase logs for unusual JavaScript execution within the Command Palette.
grep -i 'onerror=alert' /var/log/budibase/app.log• nodejs / platform: Check for suspicious entities (tables, views, queries, automations) with unusual names containing HTML-like characters.
# Assuming you have access to the Budibase database
# Example query (adapt to your database schema)
SELECT name FROM entities WHERE name LIKE '%<img%' OR name LIKE '%<script%';• generic web: Monitor access logs for requests to the Command Palette endpoint with unusual parameters.
curl -I 'http://your-budibase-instance/command-palette?name=<script>alert(1)</script>'disclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
この脆弱性の解決策は、Budibaseをバージョン3.32.5以降にアップグレードすることです。このバージョンには、エンティティ名の適切なサニタイズが含まれており、悪意のあるHTMLコードの実行を防ぎます。リスクを軽減するために、できるだけ早くこのアップデートを適用することを強くお勧めします。さらに、アップデート前に作成された可能性のある疑わしい名前を持つ既存のエンティティを確認してください。即時アップデートが不可能な環境では、Builderアクセスを信頼できるユーザーに制限し、Command Paletteの活動を異常な動作がないか監視することを検討してください。Budibaseは、アップグレード手順を含む詳細なリリースノートを公開しています。
Actualice Budibase a la versión 3.32.5 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la paleta de comandos del Builder. La actualización evitará la ejecución de código malicioso en el navegador de los usuarios con rol Builder.
脆弱性分析と重要アラートをメールでお届けします。
Budibaseは、ユーザーがWebアプリケーションを迅速かつ簡単に構築できるオープンソースのローコードプラットフォームです。
この脆弱性により、攻撃者がBuilderアクセス権を持つユーザーのブラウザで悪意のあるコードを実行できる可能性があります。
できるだけ早くBudibaseをバージョン3.32.5以降にアップグレードする必要があります。
Builderアクセスを信頼できるユーザーに制限し、Command Paletteの活動を監視することで、リスクを軽減できますが、アップデートが最も効果的な解決策です。
BudibaseのセキュリティアドバイザリとCVE-2026-35218のエントリで詳細情報を入手できます。
CVSS ベクトル