CVE-2026-35214

Name of the Vulnerable Software and Affected Versions Budibase versões anteriores a 3.33.4

Description Budibase é uma plataforma low-code de código aberto. O endpoint de upload de arquivos de plugin, ''/api/plugin/upload'', passa nomes de arquivos fornecidos pelo usuário diretamente para a função createTempFolder() sem higienizar sequências de travessia de caminho. Um invasor com privilégios de Global Builder pode criar um upload multipart com um nome de arquivo contendo '../' para excluir diretórios arbitrários usando rmSync e gravar arquivos arbitrários por meio da extração de tarball para qualquer caminho do sistema de arquivos que o processo Node.js possa acessar.

Recommendations Atualize para a versão 3.33.4 ou posterior.