Mjashank

**Nome do Software Vulnerável e Versões Afetadas** Budibase versões anteriores a 3.39.0 **Descrição** Verificações de permissão insuficientes nas rotas 'GET' e 'PUT' de fonte de dados única permitem que usuários com a função de usuário básico do aplicativo acessem e modifiquem configurações de fontes de dados REST. Como essas rotas são protegidas por permissões genéricas de TABLE READ, em vez de verificações de Builder/Admin ou de propriedade, um usuário básico pode atualizar a variável `config.url` mantendo os marcadores redigidos. Quando a função `mergeConfigs()` é chamada durante uma atualização, ela restaura o segredo armazenado. Posteriormente, durante a execução da consulta, a plataforma prefixa a `config.url` controlada pelo invasor ao caminho de consulta relativo e aplica os cabeçalhos de autenticação armazenados resolvidos, levando à divulgação do lado do servidor do segredo de Autorização REST para um ouvinte externo. **Recomendações** Atualizar para a versão 3.39.0.