CVE-2026-45548

Nome do Software Vulnerável e Versões Afetadas Budibase versões anteriores a 3.34.8

Description Um usuário autenticado pode disparar solicitações do lado do servidor para endereços de rede interna. Isso ocorre porque a função processUrlFile() em packages/server/src/automations/steps/ai/extract.ts utiliza fetch(fileUrl) diretamente, ignorando a validação de lista negra de IP aplicada a outras etapas de automação. Isso permite o acesso a endpoints de metadados de nuvem, varredura de rede interna e acesso a APIs internas. A variável fileUrl é o parâmetro vulnerável utilizado para iniciar essas solicitações.

Recommendations Atualize para a versão 3.34.8. Como medida paliativa temporária, restrinja o uso da etapa AI Extract File com a fonte configurada como URL até que a atualização seja aplicada.