PT-2026-44056 · Budibase · Budibase
Fg0X0
·
Publicado
2026-05-27
·
Atualizado
2026-06-12
·
CVE-2026-48128
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Budibase versões anteriores a 3.39.0
Descrição
A etapa de automação
executeQuery aceita um queryId das entradas da etapa de automação e o passa para o controlador de execução de consultas sem validação adicional. Quando uma fonte de dados REST é configurada para atingir a infraestrutura interna, isso permite a falsificação de solicitação do lado do servidor (SSRF), uma falha onde o servidor é coagido a fazer solicitações HTTP externas para destinos influenciados por um invasor. A saída da automação então retorna a resposta, o que pode expor dados de serviços internos.Recomendações
Atualize para a versão 3.39.0.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Budibase