CVE-2026-35218

Name of the Vulnerable Software and Affected Versions Budibase versões anteriores a 3.32.5

Description Budibase, uma plataforma de low-code de código aberto, apresentava uma falha crítica em seu Builder Command Palette. Antes da versão 3.32.5, os nomes das entidades (tabelas, visualizações, consultas, automações) eram renderizados usando a diretiva {@html} do Svelte sem a devida sanitização. Um usuário autenticado com acesso de Builder poderia criar uma entidade com um payload HTML malicioso (por exemplo, ) em seu nome. Quando outro usuário com a função Builder abrisse o Command Palette (Ctrl+K), esse payload seria executado em seu navegador, potencialmente roubando seu cookie de sessão e permitindo a tomada de controle total da conta.

Recommendations Atualize o Budibase para a versão 3.32.5 ou posterior.