Budibase é uma plataforma low-code de código aberto. Anteriormente à versão 3.33.4, o endpoint de upload de arquivo de plugin (POST /api/plugin/upload) passa o nome de arquivo fornecido pelo usuário diretamente para createTempFolder() sem sanitizar sequências de percurso de caminho. Um atacante com privilégios de Global Builder pode criar um upload multipart com um nome de arquivo contendo ../ para excluir diretórios arbitrários via rmSync e escrever arquivos arbitrários via extração de tarball para qualquer caminho do sistema de arquivos que o processo Node.js possa acessar. Este problema

A exploração bem-sucedida desta vulnerabilidade permite que um atacante com privilégios Globais Builder obtenha controle significativo sobre o sistema Budibase. Através da manipulação do nome do arquivo durante o upload de plugins, o atacante pode usar sequências de path traversal (../) para navegar para fora do diretório de upload pretendido. Isso possibilita a exclusão de arquivos e diretórios críticos, potencialmente comprometendo a integridade do sistema e a confidencialidade dos dados. Além disso, o atacante pode escrever arquivos arbitrários, incluindo arquivos maliciosos, que podem ser executados posteriormente, levando a uma escalada de privilégios ou execução remota de código. A gravidade da vulnerabilidade reside na combinação de privilégios Globais Builder e a capacidade de manipular o sistema de arquivos.

Budibase deployments where users have Global Builder privileges are at the highest risk. Shared hosting environments running Budibase are particularly vulnerable, as a compromised user account could potentially impact the entire host. Organizations relying on Budibase for sensitive data or critical business processes should prioritize patching.

• linux / server: Monitor Node.js process logs for suspicious file deletion or creation activity. Use lsof or fuser to identify processes accessing unusual file paths.

lsof | grep /path/to/suspicious/file

• generic web: Examine access logs for POST requests to /api/plugin/upload with filenames containing ../ sequences.

grep 'POST /api/plugin/upload.*\.\\.' access.log

• windows / supply-chain: Monitor PowerShell execution logs for commands related to file manipulation or tarball extraction within the Budibase process. Use Windows Defender to scan for suspicious files created during the upload process.

1. 2026-04-03Disclosure

   disclosure

1. Reservado2026-04-01
2. Publicada2026-04-03
3. Modificada2026-04-08
4. EPSS atualizado2026-04-11

A mitigação primária para esta vulnerabilidade é atualizar o Budibase para a versão 3.33.4 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso ao endpoint de upload de plugin apenas a usuários confiáveis e com privilégios mínimos. Implemente validação rigorosa de entrada no lado do servidor para todos os nomes de arquivo enviados, rejeitando qualquer nome que contenha sequências de path traversal. Monitore os logs do sistema em busca de tentativas de upload de arquivos suspeitos ou atividades anormais relacionadas ao endpoint de plugin.