CVE-2026-46426

Nome do Software Vulnerável e Versões Afetadas Budibase versões anteriores a 3.38.2

Description O endpoint de upload de arquivos "/api/attachments/process" não impõe restrições de conteúdo ativo para usuários autenticados. O sistema falha ao verificar extensões de arquivos perigosas quando o usuário não é um usuário público ou quando o ambiente é auto-hospedado. Isso permite que builders autenticados façam o upload de conteúdo web executável, como arquivos SVG contendo tags <script> inline, páginas HTML com JavaScript ou módulos .js. Esses arquivos são armazenados no armazenamento de objetos com seus tipos MIME originais. Quando uma URL assinada para o arquivo carregado é aberta por qualquer usuário do aplicativo, o navegador executa o payload, resultando em Cross-Site Scripting (XSS) persistente e armazenado. O problema está localizado na função uploadFile().

Recommendations Atualize para a versão 3.38.2. Como medida paliativa temporária, restrinja o acesso ao endpoint "/api/attachments/process" para minimizar o risco de exploração.