CVE-2026-35218：Budibase XSS漏洞（高危）

Budibase的CVE-2026-35218允许具有Builder访问权限的经过身份验证的用户将恶意HTML注入到实体名称（表、视图、查询、自动化）中。在版本3.32.5之前，Budibase使用Svelte的{@html}指令在未进行适当清理的情况下渲染这些名称。这意味着攻击者可以创建一个包含HTML有效负载（例如，使用onerror属性执行JavaScript的<img>标签）的名称的实体。当同一工作区中的任何具有Builder角色的用户打开命令面板（Ctrl+K）时，此有效负载将执行，这可能导致敏感信息泄露、用户界面操作或更严重的情况下，在用户的浏览器中执行任意代码。CVSS严重性为8.7（高），表明存在重大风险。

Organizations using Budibase for application development and deployment are at risk, particularly those with multiple users granted Builder access. Shared hosting environments where multiple Budibase instances are deployed on the same server could also be affected, as a compromise of one instance could potentially lead to lateral movement to others.

• nodejs / platform: Monitor Budibase logs for unusual JavaScript execution within the Command Palette.

grep -i 'onerror=alert' /var/log/budibase/app.log

• nodejs / platform: Check for suspicious entities (tables, views, queries, automations) with unusual names containing HTML-like characters.

# Assuming you have access to the Budibase database
# Example query (adapt to your database schema)
SELECT name FROM entities WHERE name LIKE '%<img%' OR name LIKE '%<script%';

• generic web: Monitor access logs for requests to the Command Palette endpoint with unusual parameters.

curl -I 'http://your-budibase-instance/command-palette?name=<script>alert(1)</script>'

1. 2026-04-03Disclosure

   disclosure

1. 已保留2026-04-01
2. 发布日期2026-04-03
3. EPSS 更新日期2026-04-11

此漏洞的解决方案是将Budibase升级到版本3.32.5或更高版本。此版本包含实体名称的适当清理，从而防止恶意HTML代码的执行。强烈建议尽快应用此更新以降低风险。此外，请检查现有实体是否存在可能在更新之前创建的可疑名称。对于无法立即更新的环境，请考虑将Builder访问限制为受信任的用户，并监控命令面板活动是否存在异常行为。Budibase发布了包含升级说明的详细发行说明。