CVE-2026-31816

Nome do Software Vulnerável e Versões Afetadas Versões do Budibase anteriores à 3.31.5

Descrição O Budibase é uma plataforma low-code utilizada para criar ferramentas internas, fluxos de trabalho e painéis administrativos. Existe uma falha no middleware authorized() do servidor, projetado para proteger endpoints de API do lado do servidor. Ao anexar um padrão de caminho de webhook à query string de qualquer requisição, um atacante pode contornar este middleware. A função isWebhookEndpoint() utiliza uma expressão regular não ancorada que avalia a URL inteira, incluindo parâmetros de consulta, via ctx.request.url. Quando ocorre uma correspondência, o middleware authorized() chama imediatamente return next(), efetivamente ignorando toda autenticação, autorização, verificações de função e proteção CSRF. Isso permite que um atacante remoto não autenticado acesse qualquer endpoint de API do lado do servidor. O componente vulnerável é o middleware authorized() e a função isWebhookEndpoint(). Endpoints de API estão suscetíveis a este contorno. O parâmetro vulnerável é a query string.

Recomendações Versões anteriores à 3.31.5 estão afetadas. Atualize para a versão 3.31.5 ou posterior para resolver este problema.