Krytyczna luka RCE w Budibase umożliwia zdalne wykonanie kodu bez uwierzytelnienia

Budibase przed wersją 3.33.4 umożliwia zdalne wykonanie kodu bez uwierzytelnienia przez publiczny webhook. Zalecana aktualizacja do 3.33.4.
CVE-2026-35216CVSS 9.0Containers

Krytyczna luka RCE w Budibase umożliwia zdalne wykonanie kodu bez uwierzytelnienia

Budibase przed wersją 3.33.4 umożliwia zdalne wykonanie kodu bez uwierzytelnienia przez publiczny webhook. Zalecana aktualizacja do 3.33.4.

CVSS
9.0 CRITICAL
EPSS
95.61%
Aktywnie wykorzystywana
brak w KEV
Produkt
budibase

Co wiadomo

Budibase, platforma low-code open-source, przed wersją 3.33.4 zawierała lukę umożliwiającą nieautoryzowanemu atakującemu zdalne wykonanie kodu na serwerze poprzez wywołanie automatyzacji z krokiem Bash przez publiczny webhook. Atak nie wymaga uwierzytelnienia, a proces działa z uprawnieniami root w kontenerze.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla środowisk wykorzystujących Budibase, ponieważ umożliwia atakującemu pełną kontrolę nad serwerem aplikacji, co może prowadzić do kradzieży danych, zakłócenia działania usług lub dalszej eskalacji ataku w infrastrukturze. Operatorzy powinni traktować tę podatność jako krytyczną i priorytetowo wdrożyć odpowiednie środki zaradcze.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Budibase do wersji 3.33.4 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do publicznego endpointu webhook oraz monitoruj logi pod kątem podejrzanych wywołań automatyzacji zawierających kroki Bash. Przeprowadź przegląd uprawnień kontenerów i rozważ wdrożenie dodatkowych mechanizmów zabezpieczeń.

Źródła