Plataforma
nodejs
Componente
budibase
Corrigido em
3.32.6
A vulnerabilidade CVE-2026-35218 afeta o Budibase, uma plataforma low-code open-source. Antes da versão 3.32.5, o componente Command Palette do Builder renderiza nomes de entidades (tabelas, views, queries, automações) utilizando a diretiva {@html} do Svelte sem sanitização. Isso permite que um usuário autenticado com acesso ao Builder crie uma entidade com um nome contendo um payload HTML malicioso, resultando em roubo de cookies de sessão e potencial acesso total à conta. A correção foi lançada na versão 3.32.5.
Um atacante pode explorar esta vulnerabilidade criando uma entidade (tabela, view, query ou automação) com um nome que contenha um payload XSS. Quando qualquer usuário com permissão Builder no mesmo workspace abrir o Command Palette (Ctrl+K), o payload é executado no navegador do usuário, permitindo ao atacante roubar o cookie de sessão. Com o cookie de sessão em mãos, o atacante pode se autenticar como o usuário afetado, obtendo acesso total à sua conta e aos dados sensíveis contidos na aplicação Budibase. A exploração bem-sucedida pode levar à exfiltração de dados, modificação de configurações e até mesmo à tomada de controle completa do ambiente Budibase.
A vulnerabilidade foi divulgada em 2026-04-03. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração, portanto, a aplicação da correção ou a implementação de medidas de mitigação é altamente recomendada.
Organizations using Budibase for application development and deployment are at risk, particularly those with multiple users granted Builder access. Shared hosting environments where multiple Budibase instances are deployed on the same server could also be affected, as a compromise of one instance could potentially lead to lateral movement to others.
• nodejs / platform: Monitor Budibase logs for unusual JavaScript execution within the Command Palette.
grep -i 'onerror=alert' /var/log/budibase/app.log• nodejs / platform: Check for suspicious entities (tables, views, queries, automations) with unusual names containing HTML-like characters.
# Assuming you have access to the Budibase database
# Example query (adapt to your database schema)
SELECT name FROM entities WHERE name LIKE '%<img%' OR name LIKE '%<script%';• generic web: Monitor access logs for requests to the Command Palette endpoint with unusual parameters.
curl -I 'http://your-budibase-instance/command-palette?name=<script>alert(1)</script>'disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Budibase para a versão 3.32.5 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais. Implementar uma política de segurança de conteúdo (CSP) rigorosa pode ajudar a mitigar o impacto de payloads XSS. Além disso, monitore os logs do Budibase em busca de atividades suspeitas, como a criação de entidades com nomes incomuns ou a execução de scripts não autorizados. A implementação de um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS também pode ser eficaz.
Actualice Budibase a la versión 3.32.5 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la paleta de comandos del Builder. La actualización evitará la ejecución de código malicioso en el navegador de los usuarios con rol Builder.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35218 is a cross-site scripting (XSS) vulnerability in Budibase versions up to 3.32.5. It allows attackers to inject malicious HTML via entity names, potentially leading to account takeover.
You are affected if you are using Budibase versions 3.32.5 or earlier. Upgrade to 3.32.5 to resolve the vulnerability.
Upgrade Budibase to version 3.32.5 or later. This version includes a fix that sanitizes entity names and prevents the XSS vulnerability.
There is currently no evidence of active exploitation in the wild, but the vulnerability's potential impact warrants immediate attention and patching.
Refer to the official Budibase security advisory for detailed information and updates: [https://budibase.com/security/advisories/CVE-2026-35218](https://budibase.com/security/advisories/CVE-2026-35218)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.