Komyunghan

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.38.1 **Descrição** O Budibase contém uma configuração incorreta de autorização no nível de rota, onde o endpoint "PUT /api/datasources/:datasourceId" é incorretamente atribuído ao grupo `authorizedRoutes` com permissões `TABLE/READ` em vez do grupo `builderRoutes`. Isso permite que qualquer usuário autenticado com a função integrada `BASIC` ou superior envie solicitações para reescrever o objeto `config` de uma fonte de dados, incluindo o `host`, `port`, credenciais do banco de dados ou a `url` base de uma fonte de dados REST. Como as conexões de driver SQL carecem de proteção contra Server-Side Request Forgery (SSRF)—uma técnica onde um invasor força um servidor a fazer solicitações para um local não pretendido—o redirecionamento de uma fonte de dados PostgreSQL, MySQL ou MongoDB para um endereço IP interno permite que um invasor sonde ou interaja com serviços internos em portas arbitrárias. Além disso, isso pode ser usado para interromper o serviço ao injetar configurações inválidas, causando uma Negação de Serviço (DoS) para todas as consultas da aplicação que dependem dessa fonte de dados. **Recomendações** Atualize para a versão 3.38.1.