Krytyczna luka RCE w Budibase umożliwia zdalne wykonanie kodu bez uwierzytelnienia
Budibase przed wersją 3.33.4 umożliwia zdalne wykonanie kodu bez uwierzytelnienia przez publiczny webhook. Zalecana aktualizacja do 3.33.4.
- CVSS
- 9.0 CRITICAL
- EPSS
- 95.61%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- budibase
Co wiadomo
Budibase, platforma low-code open-source, przed wersją 3.33.4 zawierała lukę umożliwiającą nieautoryzowanemu atakującemu zdalne wykonanie kodu na serwerze poprzez wywołanie automatyzacji z krokiem Bash przez publiczny webhook. Atak nie wymaga uwierzytelnienia, a proces działa z uprawnieniami root w kontenerze.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla środowisk wykorzystujących Budibase, ponieważ umożliwia atakującemu pełną kontrolę nad serwerem aplikacji, co może prowadzić do kradzieży danych, zakłócenia działania usług lub dalszej eskalacji ataku w infrastrukturze. Operatorzy powinni traktować tę podatność jako krytyczną i priorytetowo wdrożyć odpowiednie środki zaradcze.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Budibase do wersji 3.33.4 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do publicznego endpointu webhook oraz monitoruj logi pod kątem podejrzanych wywołań automatyzacji zawierających kroki Bash. Przeprowadź przegląd uprawnień kontenerów i rozważ wdrożenie dodatkowych mechanizmów zabezpieczeń.