Plataforma
nodejs
Componente
budibase
Corrigido em
3.30.5
3.30.4
Uma vulnerabilidade crítica de Execução Remota de Código (RCE) foi descoberta no Budibase Cloud (SaaS). Esta falha permite que usuários autenticados, incluindo contas da camada gratuita, executem código JavaScript arbitrário no servidor. A vulnerabilidade reside na implementação de filtragem de visualizações, especificamente no arquivo packages/server/src/db/inMemoryView.ts, onde funções de mapa de visualizações controladas pelo usuário são avaliadas diretamente sem sanitização. A atualização para a versão 3.30.4 corrige esta vulnerabilidade.
O impacto primário desta vulnerabilidade reside no ambiente do pod onde o Budibase Cloud é executado. Um atacante autenticado pode injetar código JavaScript malicioso nas funções de mapa de visualizações, que será então executado com privilégios de servidor. Isso pode levar à exfiltração de dados confidenciais, modificação de dados, instalação de malware ou até mesmo controle total do servidor. A natureza da execução remota de código torna esta vulnerabilidade particularmente perigosa, pois permite que um atacante execute ações arbitrárias sem a necessidade de acesso direto ao sistema subjacente. A vulnerabilidade afeta apenas o Budibase Cloud (SaaS); instalações auto-hospedadas não são vulneráveis devido ao uso de visualizações CouchDB nativas.
A vulnerabilidade foi publicada em 2026-02-25. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza crítica da vulnerabilidade e a facilidade de exploração (requer apenas autenticação) sugerem um alto risco de exploração futura. É crucial aplicar a correção o mais rápido possível.
Budibase Cloud users, particularly those on free tier accounts, are at immediate risk. Organizations relying on Budibase Cloud for critical applications or storing sensitive data are especially vulnerable. Shared hosting environments utilizing Budibase Cloud may also be at increased risk due to potential cross-tenant exploitation.
• nodejs / server: Monitor Budibase Cloud logs for unusual JavaScript execution patterns or errors related to view filtering. Use journalctl to filter for errors containing 'eval' or 'inMemoryView.ts'.
• generic web: Inspect Budibase Cloud application logs for suspicious requests targeting view endpoints. Use curl to test view endpoints with potentially malicious map functions and observe the response for unexpected behavior.
• database (mongodb): While the vulnerability isn't directly in MongoDB, monitor MongoDB logs for unusual activity originating from the Budibase Cloud application pods.
disclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar para a versão 3.30.4 do Budibase Cloud. Para usuários que não podem atualizar imediatamente, a mitigação é complexa e envolve a análise e sanitização rigorosa de todas as funções de mapa de visualizações personalizadas. É altamente recomendável desativar a funcionalidade de visualizações personalizadas até que uma atualização possa ser aplicada. Não existem soluções de WAF ou proxy que possam mitigar completamente esta vulnerabilidade, pois ela reside no código da aplicação. Monitore logs de auditoria em busca de atividades suspeitas relacionadas à manipulação de visualizações. Após a atualização, confirme a correção verificando se as funções de mapa de visualizações personalizadas são avaliadas corretamente e não permitem a execução de código arbitrário.
Atualize o Budibase Cloud para a versão 3.30.4 ou superior. Esta versão contém uma correção para a vulnerabilidade de execução remota de código. A atualização mitigará o risco de que usuários autenticados executem código JavaScript arbitrário no servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27702 is a critical Remote Code Execution vulnerability in Budibase Cloud allowing authenticated users to execute arbitrary JavaScript code on the server. It affects versions before 3.30.4.
If you are using Budibase Cloud (SaaS) and have not upgraded to version 3.30.4 or later, you are vulnerable. Self-hosted Budibase deployments are not affected.
Upgrade Budibase Cloud to version 3.30.4 or later. Consider implementing stricter access controls as a temporary mitigation.
No active exploitation campaigns have been confirmed, but the vulnerability's severity and ease of exploitation suggest a potential risk.
Refer to the official Budibase security advisory on their website for detailed information and updates: [https://budibase.com/security/advisories](https://budibase.com/security/advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.