CVE-2026-46427

Nome do Software Vulnerável e Versões Afetadas Budibase versões anteriores a 3.38.3

Descrição A função removeSecrets() no SDK do servidor falha ao mascarar campos de configuração de fonte de dados, a menos que seu tipo de esquema seja DatasourceFieldType.PASSWORD. Como a integração do Snowflake define o campo privateKey como SENSITIVE LONGFORM, ele é ignorado pelo filtro. Um usuário autenticado com permissões BASIC e qualquer função de aplicativo pode acessar o endpoint '/api/datasources/:datasourceId' para recuperar a chave privada PEM (Privacy Enhanced Mail) do Snowflake em texto simples.

Recomendações Atualize para a versão 3.38.3.