CVE-2026-54353

Nome do Software Vulnerável e Versões Afetadas Budibase versões anteriores a 3.39.9

Description Usuários autenticados com permissões de automação podem ignorar a lista de bloqueio de Server-Side Request Forgery (SSRF) por meio de DNS rebinding. Isso ocorre porque o fluxo de busca externa resolve o DNS duas vezes: uma durante a validação da lista de bloqueio e outra durante a conexão de socket real via node-fetch. Como os endereços IP validados não são fixados à conexão, um nome de host controlado por um invasor pode retornar um IP público durante a validação e um IP privado ou interno durante a conexão real. Isso cria uma condição de Time-of-Check to Time-of-Use (TOCTOU), resultando em um primitivo de SSRF não cego contra serviços internos acessíveis a partir do host, incluindo loopback, intervalos RFC1918 e endpoints de metadados de nuvem. O problema afeta vários componentes, incluindo webhooks de saída e integrações com Slack, Discord, Make, Zapier, n8n, AI extract e buscas de object-store. Em implantações em nuvem sem a aplicação do IMDSv2, isso pode expor credenciais temporárias do IAM.

Recommendations Atualize o Budibase para a versão 3.39.9.