CVE-2026-46424

Nome do Software Vulnerável e Versões Afetadas Budibase versões anteriores a 3.38.2

Description O endpoint de desatribuição de funções da API pública "/api/public/v1/roles/unassign" atualiza os documentos de usuário no CouchDB, mas não invalida as entradas correspondentes no cache de usuário do Redis. Como o middleware de autenticação resolve a identidade e as permissões do usuário a partir deste cache, que possui um Tempo de Vida (TTL) de 3600 segundos, usuários cujas funções de administrador, construtor ou nível de aplicativo sejam revogadas via API pública mantêm esses privilégios por até uma hora. Isso ocorre devido a uma inconsistência onde a função bulkUpdate() grava diretamente no banco de dados sem disparar a invalidação de cache necessária, diferentemente do caminho utilizado pela interface de administração.

Recommendations Atualize para a versão 3.38.2. Como medida paliativa temporária, restrinja o acesso ao endpoint "/api/public/v1/roles/unassign" até que a atualização seja aplicada.