Nome do software vulnerável e versões afetadas:

Versões do Budibase anteriores à 2.20.0

Descrição:

O problema decorre de uma vulnerabilidade na biblioteca vm2 usada para execução de código dentro do construtor e dos aplicativos do Budibase. Essa vulnerabilidade permite que os usuários escapem da sandbox fornecida pela vm2 e exponham variáveis do lado do servidor, como process.env. Os autores da vm2 recomendam mudar para outra solução para execução remota de JS devido a essa vulnerabilidade.

Recomendações:

Para versões do Budibase anteriores à 2.20.0, atualize para a versão 2.20.0 ou posterior, que migra a infraestrutura de sandbox de JS para isolated-vm, uma biblioteca mais segura para execução remota de código. Essa atualização também oferece um ganho de desempenho no cache e na execução de JS no lado do servidor. Usuários com hospedagem própria devem gerenciar essas atualizações por conta própria, enquanto a plataforma em nuvem do Budibase já recebeu o patch.