Platform
nodejs
Component
budibase
Opgelost in
3.32.6
CVE-2026-35218 is een Cross-Site Scripting (XSS) kwetsbaarheid in Budibase, een open-source low-code platform. Deze kwetsbaarheid stelt een geauthenticeerde gebruiker met Builder-toegang in staat om een schadelijke HTML payload uit te voeren via de Command Palette, wat kan leiden tot accountovername. De kwetsbaarheid treft versies van Budibase tot en met 3.32.5, maar is verholpen in versie 3.32.5.
CVE-2026-35218 in Budibase stelt een geauthenticeerde gebruiker met Builder-toegang in staat om kwaadaardige HTML in entiteitsnamen (tabellen, weergaven, queries, automatiseringen) te injecteren. Voor versie 3.32.5 gebruikte Budibase de {@html}-richtlijn van Svelte om deze namen te renderen zonder adequate sanitatie. Dit betekent dat een aanvaller een entiteit kan maken met een naam die een HTML-payload bevat, zoals een <img>-tag met een onerror-attribuut dat JavaScript uitvoert. Wanneer een willekeurige gebruiker met Builder-rol in dezelfde workspace het Command Palette (Ctrl+K) opent, wordt deze payload uitgevoerd, wat mogelijk kan leiden tot openbaarmaking van gevoelige informatie, manipulatie van de gebruikersinterface of, in ernstigere gevallen, tot willekeurige code-uitvoering in de browser van de gebruiker. De CVSS-severity is 8,7 (Hoog), wat een aanzienlijk risico aangeeft.
Een aanvaller met Builder-toegang kan deze kwetsbaarheid uitbuiten door een entiteit (tabel, weergave, query of automatisering) te maken met een naam die een kwaadaardige HTML-payload bevat. Deze payload kan zo eenvoudig zijn als een pop-up-alert of zo complex als een script dat cookies steelt of de gebruiker naar een kwaadaardige website omleidt. Zodra de entiteit is gemaakt, voert elke gebruiker met Builder-toegang die het Command Palette (Ctrl+K) opent, de payload uit. Exploitatie is relatief eenvoudig en vereist geen geavanceerde technische vaardigheden, waardoor het risico toeneemt dat het wordt uitgebuit door aanvallers met verschillende niveaus van bekwaamheid. Het ontbreken van sanitatie van gebruikersinvoer is de hoofdoorzaak van de kwetsbaarheid.
Organizations using Budibase for application development and deployment are at risk, particularly those with multiple users granted Builder access. Shared hosting environments where multiple Budibase instances are deployed on the same server could also be affected, as a compromise of one instance could potentially lead to lateral movement to others.
• nodejs / platform: Monitor Budibase logs for unusual JavaScript execution within the Command Palette.
grep -i 'onerror=alert' /var/log/budibase/app.log• nodejs / platform: Check for suspicious entities (tables, views, queries, automations) with unusual names containing HTML-like characters.
# Assuming you have access to the Budibase database
# Example query (adapt to your database schema)
SELECT name FROM entities WHERE name LIKE '%<img%' OR name LIKE '%<script%';• generic web: Monitor access logs for requests to the Command Palette endpoint with unusual parameters.
curl -I 'http://your-budibase-instance/command-palette?name=<script>alert(1)</script>'disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om Budibase te upgraden naar versie 3.32.5 of hoger. Deze versie bevat een adequate sanitatie van entiteitsnamen, waardoor de uitvoering van kwaadaardige HTML-code wordt voorkomen. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om het risico te beperken. Controleer bovendien bestaande entiteiten op verdachte namen die mogelijk zijn gemaakt voordat de update werd uitgevoerd. Voor omgevingen waar een onmiddellijke update niet mogelijk is, overweeg dan om de toegang tot de Builder te beperken tot vertrouwde gebruikers en de activiteit van het Command Palette te volgen op ongebruikelijk gedrag. Budibase heeft gedetailleerde release notes gepubliceerd met upgrade-instructies.
Actualice Budibase a la versión 3.32.5 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la paleta de comandos del Builder. La actualización evitará la ejecución de código malicioso en el navegador de los usuarios con rol Builder.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Budibase is een open-source low-code platform waarmee gebruikers snel en eenvoudig webapplicaties kunnen bouwen.
Deze kwetsbaarheid kan een aanvaller in staat stellen kwaadaardige code uit te voeren in de browser van een gebruiker met Builder-toegang.
U moet Budibase zo snel mogelijk upgraden naar versie 3.32.5 of hoger.
Het beperken van de toegang tot de Builder tot vertrouwde gebruikers en het volgen van de activiteit van het Command Palette kan helpen het risico te beperken, maar het updaten is de meest effectieve oplossing.
U kunt meer informatie vinden in het beveiligingsadvies van Budibase en de CVE-2026-35218-entry.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.