Platform
nodejs
Component
@budibase/backend-core
Opgelost in
3.33.5
3.33.4
CVE-2026-31818 beschrijft een kritieke Server-Side Request Forgery (SSRF) kwetsbaarheid in Budibase. Deze kwetsbaarheid stelt een aanvaller in staat om interne data te exfiltreren via de REST Datasource Integration, door een onvoldoende blacklist te gebruiken. De kwetsbaarheid treft alle zelf-gehoste Budibase instances tot versie 3.33.4. Een upgrade naar versie 3.33.4 of hoger is vereist om de kwetsbaarheid te verhelpen.
De SSRF-kwetsbaarheid in Budibase maakt het mogelijk voor een aanvaller om interne resources te benaderen die normaal gesproken niet toegankelijk zijn vanaf het netwerk. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals database credentials, interne API keys, en andere vertrouwelijke data. Een aanvaller met een Builder rol of QUERY WRITE toegang kan deze kwetsbaarheid misbruiken om data te stelen en mogelijk verder in het systeem te bewegen. De impact is aanzienlijk, aangezien de aanvaller potentieel volledige controle kan krijgen over de interne infrastructuur van de Budibase omgeving.
De kwetsbaarheid is publiekelijk bekend gemaakt op 2026-04-03. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid (CRITICAL) en de relatieve eenvoud van de exploitatie maken het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Organizations utilizing self-hosted Budibase instances are at risk, particularly those relying on the REST Datasource integration for data connectivity. Environments with lax permission controls for Builder roles or QUERY WRITE access are especially vulnerable. Shared hosting environments where multiple users have access to Budibase instances should be considered high-risk.
• nodejs / server:
ps aux | grep budibase• nodejs / server:
journalctl -u budibase --since "1 hour ago" | grep -i "rest datasource"• generic web: Use curl to probe for REST endpoints and observe responses for internal IP addresses or service names.
curl -v http://<budibase_host>/api/rest/datasourcesdisclosure
patch
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-31818 is het upgraden naar Budibase versie 3.33.4 of hoger. Indien een upgrade direct niet mogelijk is, kan een tijdelijke workaround bestaan uit het handmatig configureren van een strikte blacklist voor de REST Datasource Integration, om te voorkomen dat requests naar interne resources worden verzonden. Controleer de Budibase documentatie voor de juiste configuratie van de blacklist. Monitor de logs op ongebruikelijke requests en implementeer WAF-regels om SSRF-pogingen te detecteren en blokkeren. Na de upgrade, verifieer de fix door een poging te doen om een request naar een interne resource te sturen via de REST Datasource Integration en controleer of deze wordt geblokkeerd.
Actualiseer Budibase naar versie 3.33.4 of hoger. Deze versie corrigeert de SSRF kwetsbaarheid door te verzekeren dat de environment variabele BLACKLIST_IPS correct is geconfigureerd, de IP blacklist inschakelt en ongeautoriseerde requests voorkomt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-31818 is a critical SSRF vulnerability in Budibase versions before 3.33.4, allowing attackers to exfiltrate internal data via the REST Datasource integration due to a flawed blacklist.
You are affected if you are running a self-hosted Budibase instance with a version prior to 3.33.4 and utilize the REST Datasource integration.
Upgrade Budibase to version 3.33.4 or later. As a temporary workaround, implement a WAF or proxy to filter outbound requests.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the official Budibase security advisory on their website for detailed information and updates: [https://budibase.com/security/advisories](https://budibase.com/security/advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.