Platform
nodejs
Component
@budibase/server
Opgelost in
3.33.5
3.33.4
CVE-2026-35216 is een Remote Code Execution (RCE) kwetsbaarheid in Budibase. Deze kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om code uit te voeren op de Budibase server door een automatisering met een Bash stap te triggeren via het publieke webhook endpoint. De kwetsbaarheid treft Budibase versies kleiner dan of gelijk aan 3.33.4. Het probleem is verholpen in versie 3.33.4.
CVE-2026-35216 in Budibase stelt een niet-geauthenticeerde aanvaller in staat om Remote Code Execution (RCE) te bereiken op de Budibase-server. Dit wordt bereikt door een automatisering te activeren die een Bash-stap bevat via het publieke webhook-eindpunt. De ernst van deze kwetsbaarheid is hoog (CVSS 9.0) vanwege de eenvoudige uitbuiting en het potentiële effect. Het proces wordt uitgevoerd als root binnen de container, wat betekent dat een succesvolle aanvaller de volledige controle over het systeem kan overnemen. Het ontbreken van authenticatie op het webhook-eindpunt maakt exploitatie triviaal, aangezien geen inloggegevens vereist zijn om de kwaadaardige automatisering te activeren. Het is cruciaal om de update aan te brengen naar versie 3.33.4 of hoger om dit risico te beperken.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een HTTP POST-verzoek te sturen naar het publieke webhook-eindpunt van Budibase. Dit verzoek moet gegevens bevatten die een automatisering activeren die is geconfigureerd met een Bash-stap. De Bash-stap kan kwaadaardige commando's bevatten die met root-privileges binnen de container worden uitgevoerd. Omdat geen authenticatie vereist is, kan iedereen die toegang heeft tot het netwerk waarop Budibase wordt uitgevoerd, mogelijk deze kwetsbaarheid uitbuiten. De eenvoud van de exploitatie maakt het een belangrijk probleem, vooral voor omgevingen met internetblootstelling.
Exploit Status
EPSS
0.55% (68% percentiel)
CISA SSVC
CVSS-vector
De primaire oplossing om CVE-2026-35216 te beperken is het updaten van Budibase naar versie 3.33.4 of hoger. Deze versie bevat een correctie die de uitvoering van willekeurige Bash-commando's via de publieke webhook voorkomt. Bekijk bovendien alle bestaande automatiseringen om Bash-stappen te identificeren en te verwijderen die mogelijk kunnen worden misbruikt. Als voorzorgsmaatregel, overweeg om de toegang tot de publieke webhook te beperken met behulp van een firewall of Access Control List (ACL), hoewel de update de meest effectieve oplossing is. Het monitoren van de Budibase-serverlogboeken op verdachte activiteiten die verband houden met de webhook kan ook helpen bij het detecteren en reageren op mogelijke exploitatiepogingen.
Actualice Budibase a la versión 3.33.4 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código no autenticada a través de webhooks y pasos de automatización Bash. La actualización evitará que atacantes no autenticados ejecuten código arbitrario en el servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een webhook is een manier voor een applicatie om realtime informatie aan een andere applicatie te verstrekken. In dit geval wordt de Budibase-webhook gebruikt om automatiseringen te activeren.
Uitvoering als root is een standaardconfiguratie in Budibase voor bepaalde automatiseringsstappen. Dit stelt automatiseringen in staat om taken uit te voeren die verhoogde privileges vereisen, maar verhoogt ook het risico als de kwetsbaarheid wordt misbruikt.
Als u niet onmiddellijk kunt updaten, overweeg dan om de toegang tot de publieke webhook te beperken met behulp van een firewall of ACL. Dit is echter slechts een gedeeltelijke beperking, en de update is de aanbevolen oplossing.
Bekijk de configuratie van elke automatisering in Budibase. Zoek naar degenen die een stap hebben die is geconfigureerd om Bash-commando's uit te voeren.
Momenteel zijn er geen geautomatiseerde tools beschikbaar om deze kwetsbaarheid te detecteren. De beste manier om te bepalen of u kwetsbaar bent, is door de versie van Budibase die u uitvoert te controleren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.