知名开源低代码平台 Budibase 日前发布紧急安全补丁,修复两项高危漏洞。这两个漏洞分别为 CVE‑2026‑30240 和 CVE‑2026‑31816,攻击者可绕过身份认证,窃取生产环境中的敏感密钥。
其中最具威胁的是 CVE‑2026‑31816,CVSS 评分高达 9.1。
漏洞源于平台用于保护所有服务端接口的 authorized() 中间件,因 isWebhookEndpoint() 函数中的正则表达式未做边界限定,导致请求校验逻辑异常。攻击者只需在任意请求的参数中拼接类似 ?/webhooks/trigger 的路径特征,即可欺骗服务器跳过全部身份认证与权限校验。
漏洞影响
完全权限绕过:攻击者无需用户名、密码即可访问全部 API 接口。
数据全面暴露:获得数据表、记录、自动化流程与插件的完整增删改查权限。
无交互攻击:纯网络层面利用,无需钓鱼、无需用户操作即可触发。
如果说第一个漏洞打开了系统大门,那么 CVE‑2026‑30240(CVSS 9.6)可让拥有 “构建者” 权限的用户彻底攻陷整个平台。
该漏洞存在于渐进式 Web 应用(PWA)的 ZIP 处理接口中。用户上传构造好的恶意 ZIP 压缩包(内含篡改的 icons.json),可利用未做过滤的 path.join() 实现路径遍历攻击。
攻击者能够读取服务器上任意文件,包括 /proc/1/environ,该文件通常存储全部环境变量。
漏洞影响
密钥窃取:可窃取 JWT 密钥、数据库凭证、API 令牌等核心敏感信息。
跨租户风险:在 Budibase 云服务中,单个租户的构建者可窃取平台全局密钥,影响所有用户。
实测验证:研究人员已在生产环境复现成功,成功获取 19 项核心密钥,包括 AWS IAM 密钥与 OpenAI API 密钥。
上述漏洞组合可实现对整个平台的完全攻陷。
一旦泄露 JWT_SECRET,攻击者可伪造任意用户的管理员令牌;窃取 API_ENCRYPTION_KEY 后,则能解密系统中所有存储的数据源密码。
发表评论
您还未登录,请先登录。
登录