PT-2026-44059 · Budibase · Budibase
Fg0X0
·
Publicado
2026-05-27
·
Atualizado
2026-06-12
·
CVE-2026-48148
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Budibase versões anteriores a 3.35.3
Descrição
O endpoint de configuração do VectorDB aceita um parâmetro
host que não possui validação contra intervalos de IP internos, nomes de host reservados ou esquemas de URL. Isso permite que um usuário autenticado com acesso de nível de construtor forneça valores de host arbitrários, como localhost ou 169.254.169.254, forçando o servidor a iniciar conexões TCP de saída para endereços de rede interna ou endpoints de metadados de nuvem.Recomendações
Atualizar para a versão 3.35.3.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Budibase