Da7Om85

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.38.2 **Description** O endpoint de upload de arquivos "/api/attachments/process" não impõe restrições de conteúdo ativo para usuários autenticados. O sistema falha ao verificar extensões de arquivos perigosas quando o usuário não é um usuário público ou quando o ambiente é auto-hospedado. Isso permite que builders autenticados façam o upload de conteúdo web executável, como arquivos SVG contendo tags `<script>` inline, páginas HTML com JavaScript ou módulos `.js`. Esses arquivos são armazenados no armazenamento de objetos com seus tipos MIME originais. Quando uma URL assinada para o arquivo carregado é aberta por qualquer usuário do aplicativo, o navegador executa o payload, resultando em Cross-Site Scripting (XSS) persistente e armazenado. O problema está localizado na função `uploadFile()`. **Recommendations** Atualize para a versão 3.38.2. Como medida paliativa temporária, restrinja o acesso ao endpoint "/api/attachments/process" para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.33.4 **Descrição** Budibase, uma plataforma de low-code de código aberto, possui uma falha de segurança crítica onde um atacante não autenticado pode alcançar a Execução Remota de Código (RCE) no servidor Budibase. Isso é possível ao acionar uma automação que contém uma etapa Bash através do endpoint webhook público. O processo é executado como root dentro do contêiner. A vulnerabilidade se deve a um gatilho webhook mal configurado que permite acesso não autenticado e o uso do processamento de modelo Handlebars na entrada do webhook, que é então executado como um comando shell. Um atacante pode explorar isso enviando uma solicitação HTTP POST criada para o endpoint `/api/webhooks/trigger/{appId}/{webhookId}` com uma carga maliciosa no campo `cmd`. Isso permite que eles executem comandos arbitrários no servidor com privilégios de root. A vulnerabilidade requer que um administrador tenha criado anteriormente uma automação com um gatilho webhook e uma etapa Bash que use um modelo de campo de gatilho. O endpoint afetado é `/api/webhooks/trigger/:instance/:id`. O ponto vulnerável é a etapa de automação Bash, especificamente a função `processStringSync` e a função `execSync`. A cadeia de ataque envolve o envio de uma solicitação HTTP POST para o endpoint de gatilho webhook, que então aciona a automação e executa a etapa Bash com a carga controlada pelo atacante. O número de dispositivos potencialmente afetados não é especificado. **Recomendações** Atualize para a versão 3.33.4 ou posterior.

Name of the Vulnerable Software and Affected Versions Budibase versões anteriores a 3.32.5 Description Budibase, uma plataforma de low-code de código aberto, apresentava uma falha crítica em seu Builder Command Palette. Antes da versão 3.32.5, os nomes das entidades (tabelas, visualizações, consultas, automações) eram renderizados usando a diretiva {@html} do Svelte sem a devida sanitização. Um usuário autenticado com acesso de Builder poderia criar uma entidade com um payload HTML malicioso (por exemplo, <img src=x onerror=alert(document.domain)>) em seu nome. Quando outro usuário com a função Builder abrisse o Command Palette (Ctrl+K), esse payload seria executado em seu navegador, potencialmente roubando seu cookie de sessão e permitindo a tomada de controle total da conta. Recommendations Atualize o Budibase para a versão 3.32.5 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Budibase versions 3.30.6 and prior **Description** Budibase is a low code platform that allows the creation of internal tools, workflows, and admin panels. A flaw exists in the REST datasource query preview endpoint (`POST /api/queries/preview`) where server-side HTTP requests are made to any URL supplied by the user in the `fields.path` parameter without proper validation. This allows an authenticated administrator to access internal services not exposed to the internet, including cloud metadata endpoints (AWS/GCP/Azure), internal databases, Kubernetes APIs, and other pods on the internal network. On Google Cloud Platform (GCP), this can lead to OAuth2 token theft with the `cloud-platform` scope, granting full GCP access. In any deployment, it enables full internal network enumeration. The vulnerable handler is located in `packages/server/src/api/controllers/query.ts` (`preview()`). The `fields.path` parameter is passed directly to the REST HTTP client without IP or hostname validation, lacking blocklists for loopback addresses, RFC 1918 ranges, link-local/cloud metadata addresses, and internal Kubernetes DNS. **Recommendations** Versions prior to 3.30.6 are affected. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas Versões do Budibase anteriores a 3.31.5 Descrição O Budibase é uma plataforma low-code usada para criar ferramentas internas, fluxos de trabalho e painéis de administração. Existe uma vulnerabilidade de travessia de caminho no endpoint de processamento de ZIP do PWA (Aplicativo Web Progressivo), especificamente em `/api/pwa/process-zip`. Isso permite que um usuário autenticado com privilégios de construtor acesse arquivos arbitrários no sistema de arquivos do servidor. O servidor utiliza uma função `path.join()` não sanitizada com entrada controlada pelo usuário proveniente do `icons.json` dentro de um arquivo ZIP carregado, permitindo a leitura de arquivos sensíveis como `/proc/1/environ`, que contém variáveis de ambiente, incluindo segredos JWT, credenciais de banco de dados, chaves de criptografia e tokens de API. O conteúdo dos arquivos é então carregado em um armazenamento de objetos (MinIO/S3) e acessível por meio de URLs assinadas, potencialmente resultando no comprometimento total da plataforma devido à exfiltração de segredos criptográficos e credenciais de serviço. Recomendações Atualize o Budibase para uma versão posterior a 3.31.5.