CVE-2026-30240

Nome do Software Vulnerável e Versões Afetadas Versões do Budibase anteriores a 3.31.5

Descrição O Budibase é uma plataforma low-code usada para criar ferramentas internas, fluxos de trabalho e painéis de administração. Existe uma vulnerabilidade de travessia de caminho no endpoint de processamento de ZIP do PWA (Aplicativo Web Progressivo), especificamente em /api/pwa/process-zip. Isso permite que um usuário autenticado com privilégios de construtor acesse arquivos arbitrários no sistema de arquivos do servidor. O servidor utiliza uma função path.join() não sanitizada com entrada controlada pelo usuário proveniente do icons.json dentro de um arquivo ZIP carregado, permitindo a leitura de arquivos sensíveis como /proc/1/environ, que contém variáveis de ambiente, incluindo segredos JWT, credenciais de banco de dados, chaves de criptografia e tokens de API. O conteúdo dos arquivos é então carregado em um armazenamento de objetos (MinIO/S3) e acessível por meio de URLs assinadas, potencialmente resultando no comprometimento total da plataforma devido à exfiltração de segredos criptográficos e credenciais de serviço.

Recomendações Atualize o Budibase para uma versão posterior a 3.31.5.