CVE-2026-35216

Nome do Software Vulnerável e Versões Afetadas Budibase versões anteriores a 3.33.4

Descrição Budibase, uma plataforma de low-code de código aberto, possui uma falha de segurança crítica onde um atacante não autenticado pode alcançar a Execução Remota de Código (RCE) no servidor Budibase. Isso é possível ao acionar uma automação que contém uma etapa Bash através do endpoint webhook público. O processo é executado como root dentro do contêiner. A vulnerabilidade se deve a um gatilho webhook mal configurado que permite acesso não autenticado e o uso do processamento de modelo Handlebars na entrada do webhook, que é então executado como um comando shell. Um atacante pode explorar isso enviando uma solicitação HTTP POST criada para o endpoint /api/webhooks/trigger/{appId}/{webhookId} com uma carga maliciosa no campo cmd. Isso permite que eles executem comandos arbitrários no servidor com privilégios de root. A vulnerabilidade requer que um administrador tenha criado anteriormente uma automação com um gatilho webhook e uma etapa Bash que use um modelo de campo de gatilho. O endpoint afetado é /api/webhooks/trigger/:instance/:id. O ponto vulnerável é a etapa de automação Bash, especificamente a função processStringSync e a função execSync. A cadeia de ataque envolve o envio de uma solicitação HTTP POST para o endpoint de gatilho webhook, que então aciona a automação e executa a etapa Bash com a carga controlada pelo atacante. O número de dispositivos potencialmente afetados não é especificado.

Recomendações Atualize para a versão 3.33.4 ou posterior.