Plataforma
nodejs
Componente
@budibase/server
Corrigido em
3.33.5
3.33.4
Uma vulnerabilidade de Remote Code Execution (RCE) foi descoberta no @budibase/server. Um atacante não autenticado pode executar código remotamente no servidor Budibase, explorando um webhook público e disparando uma automação com um passo Bash. O processo é executado como root dentro do container, tornando a exploração particularmente perigosa.
A vulnerabilidade CVE-2026-35216 no Budibase permite que um atacante não autenticado execute código remotamente (RCE) no servidor Budibase. Isso é alcançado disparando uma automação que contém um passo Bash através do endpoint de webhook público. A gravidade desta vulnerabilidade é alta (CVSS 9.0) devido à facilidade de exploração e ao impacto potencial. O processo é executado como root dentro do contêiner, o que significa que um atacante bem-sucedido pode obter controle total do sistema. A falta de autenticação no endpoint do webhook torna a exploração trivial, pois nenhuma credencial é necessária para ativar a automação maliciosa. É crucial aplicar a atualização para a versão 3.33.4 ou posterior para mitigar este risco.
Um atacante pode explorar esta vulnerabilidade enviando uma solicitação HTTP POST para o endpoint de webhook público do Budibase. Esta solicitação deve incluir dados que disparem uma automação configurada com um passo Bash. O passo Bash pode conter comandos maliciosos que serão executados com privilégios de root dentro do contêiner. Como nenhuma autenticação é necessária, qualquer pessoa com acesso à rede onde o Budibase está sendo executado pode potencialmente explorar esta vulnerabilidade. A simplicidade da exploração a torna uma preocupação significativa, especialmente para ambientes com exposição à Internet.
Status do Exploit
EPSS
0.55% (percentil 68%)
CISA SSVC
Vetor CVSS
A solução primária para mitigar CVE-2026-35216 é atualizar o Budibase para a versão 3.33.4 ou posterior. Esta versão inclui uma correção que impede a execução de comandos Bash arbitrários através do webhook público. Além disso, revise todas as automações existentes para identificar e remover quaisquer passos Bash que possam ser explorados. Como medida de precaução, considere restringir o acesso ao webhook público usando um firewall ou Lista de Controle de Acesso (ACL), embora a atualização seja a solução mais eficaz. Monitorar os logs do servidor Budibase em busca de atividade suspeita relacionada ao webhook também pode ajudar a detectar e responder a tentativas de exploração potenciais.
Actualice Budibase a la versión 3.33.4 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código no autenticada a través de webhooks y pasos de automatización Bash. La actualización evitará que atacantes no autenticados ejecuten código arbitrario en el servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um webhook é uma forma de uma aplicação fornecer informações em tempo real para outra aplicação. Neste caso, o webhook do Budibase é usado para disparar automações.
A execução como root é uma configuração padrão no Budibase para certos passos de automação. Isso permite que as automações realizem tarefas que requerem privilégios elevados, mas também aumenta o risco se a vulnerabilidade for explorada.
Se você não puder atualizar imediatamente, considere restringir o acesso ao webhook público usando um firewall ou ACL. No entanto, isso é apenas uma mitigação parcial, e a atualização é a solução recomendada.
Revise a configuração de cada automação no Budibase. Procure aquelas que têm um passo configurado para executar comandos Bash.
Atualmente, não existem ferramentas automatizadas disponíveis para detectar esta vulnerabilidade. A melhor maneira de determinar se você é vulnerável é verificar a versão do Budibase que você está executando.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.