CVE-2026-45718

Nome do Software Vulnerável e Versões Afetadas Budibase versões anteriores a 3.38.1

Description O endpoint de gatilho de ação de linha "POST /api/tables/:sourceId/actions/:actionId/trigger" falha ao validar se o rowId fornecido pelo usuário está dentro do escopo dos filtros de linha da visualização. Isso permite que um usuário com acesso a uma visualização filtrada acione ações de linha em qualquer linha da tabela subjacente, incluindo aquelas explicitamente excluídas pelos filtros de segurança. Isso ocorre porque o sistema descarta o contexto da visualização e busca a linha diretamente na tabela usando a função sdk.rows.find(), ignorando a aplicação dos filtros de consulta da visualização. Isso pode levar à modificação não autorizada de dados, divulgação de informações ou a execução de ações não autorizadas por meio de automações.

Recommendations Atualize para a versão 3.38.1. Como medida paliativa temporária, restrinja o acesso ao endpoint "POST /api/tables/:sourceId/actions/:actionId/trigger" apenas a usuários altamente confiáveis até que a atualização seja aplicada.