Budibase 是一个开源低代码平台。在 3.33.4 版本之前，插件文件上传端点 (POST /api/plugin/upload) 会将用户提供的文件名直接传递给 createTempFolder()，而没有对路径遍历序列进行清理。具有 Global Builder 权限的攻击者可以通过构造包含 ../ 的文件名的 multipart 上传，利用 rmSync 删除任意目录，并通过 tarball 提取将任意文件写入 Node.js 进程可以访问的任何文件系统路径。此问题

该漏洞允许具有 Global Builder 权限的攻击者通过精心构造的 multipart 上传，在文件名中包含 '../' 序列，从而绕过文件上传验证。攻击者可以利用此漏洞删除 Budibase 服务器上的任意目录，甚至可以写入任意文件。这可能导致数据泄露、系统被完全控制，甚至可能导致拒绝服务攻击。由于 Budibase 通常用于构建内部应用程序，因此此漏洞可能导致敏感数据泄露，例如数据库凭据、API 密钥等。攻击者还可以利用此漏洞在服务器上执行恶意代码。

Budibase deployments where users have Global Builder privileges are at the highest risk. Shared hosting environments running Budibase are particularly vulnerable, as a compromised user account could potentially impact the entire host. Organizations relying on Budibase for sensitive data or critical business processes should prioritize patching.

• linux / server: Monitor Node.js process logs for suspicious file deletion or creation activity. Use lsof or fuser to identify processes accessing unusual file paths.

lsof | grep /path/to/suspicious/file

• generic web: Examine access logs for POST requests to /api/plugin/upload with filenames containing ../ sequences.

grep 'POST /api/plugin/upload.*\.\\.' access.log

• windows / supply-chain: Monitor PowerShell execution logs for commands related to file manipulation or tarball extraction within the Budibase process. Use Windows Defender to scan for suspicious files created during the upload process.

1. 2026-04-03Disclosure

   disclosure

1. 已保留2026-04-01
2. 发布日期2026-04-03
3. 修改日期2026-04-08
4. EPSS 更新日期2026-04-11

最有效的缓解措施是立即将 Budibase 升级至 3.33.4 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 Global Builder 权限，仅授予必要的权限。实施严格的文件上传验证，过滤掉包含 '../' 等路径遍历序列的文件名。使用 Web 应用防火墙 (WAF) 拦截恶意上传请求。监控 Budibase 服务器上的文件系统活动，及时发现异常操作。升级后，请验证文件系统完整性，确保没有恶意文件被写入。