Budibase: Stored XSS via niet-gesaneerde entity namen weergegeven met {@html} in Builder Command Palette

Budibase is een open-source low-code platform. Voor versie 3.32.5 geeft Budibase's Builder Command Palette entity namen (tabellen, views, queries, automations) weer met behulp van Svelte's {@html} directive zonder enige sanering. Een geauthenticeerde gebruiker met Builder toegang kan een tabel, automatisering, view of query maken waarvan de naam een HTML payload bevat (bijv. <img src=x onerror=alert(document.domain)>). Wanneer een Builder-rol gebruiker in dezelfde workspace de Command Palette (Ctrl+K) opent, wordt de payload uitgevoerd in hun browser, waardoor hun sessie cookie wordt gestolen en volledige account overname mogelijk wordt. Dit probleem is verholpen in versie 3.32.5.