Vulnerabilidades Críticas no Budibase Expoem Chaves de Produção, Levando a Comprometimento Total da Plataforma
Duas vulnerabilidades de alta gravidade foram descobertas no Budibase, uma plataforma low-code de código aberto. A exploração dessas falhas pode permitir que atacantes ignorem a autenticação e roubem segredos sensíveis do ambiente de produção, comprometendo completamente a plataforma.
MundiX News·13 de abril de 2026·5 min de leitura·👁 6 views
A popular plataforma low-code de código aberto Budibase lançou recentemente patches de segurança urgentes para corrigir duas vulnerabilidades de alto risco. Essas vulnerabilidades, identificadas como CVE‑2026‑30240 e CVE‑2026‑31816, permitem que invasores burlem a autenticação e roubem chaves confidenciais em ambientes de produção.
A mais ameaçadora delas é a CVE‑2026‑31816, com uma pontuação CVSS de 9.1. A vulnerabilidade reside no middlewareauthorized() da plataforma, usado para proteger todas as interfaces do lado do servidor. Devido à falta de delimitação na expressão regular da função isWebhookEndpoint(), a lógica de validação de requisições é comprometida. Um atacante pode simplesmente concatenar uma característica de caminho como ?/webhooks/trigger nos parâmetros de qualquer requisição para enganar o servidor e pular toda a autenticação e verificação de permissões.
Impacto da Vulnerabilidade:
Bypass Completo de Autenticação: Atacantes podem acessar todas as interfaces da API sem nome de usuário ou senha.
Exposição Total de Dados: Obtém acesso total para criar, ler, atualizar e excluir tabelas de dados, registros, fluxos de automação e plugins.
Ataque Sem Interação: A exploração ocorre puramente no nível da rede, sem necessidade de phishing ou interação do usuário.
Se a primeira vulnerabilidade abre as portas do sistema, a CVE‑2026‑30240 (CVSS 9.6) permite que usuários com permissões de "construtor" comprometam completamente toda a plataforma. Essa vulnerabilidade existe na interface de processamento ZIP do aplicativo web progressivo (PWA). Ao carregar um pacote ZIP malicioso (contendo um icons.json adulterado), um usuário pode realizar um ataque de path traversal usando a função path.join() sem filtragem.
Isso permite que um atacante leia arquivos arbitrários no servidor, incluindo /proc/1/environ, que normalmente armazena todas as variáveis de ambiente. A exploração bem-sucedida dessa vulnerabilidade permite a escalada de privilégios e a execução remota de código.
Impacto da Vulnerabilidade:
Roubo de Segredos: Permite roubar informações confidenciais cruciais, como chaves JWT, credenciais de banco de dados e tokens de API.
Risco Multi-Tenant: Em serviços de nuvem Budibase, um construtor em um único tenant pode roubar chaves globais da plataforma, afetando todos os usuários.
Verificação em Cenário Real: Pesquisadores reproduziram com sucesso a vulnerabilidade em um ambiente de produção, obtendo 19 chaves cruciais, incluindo chaves AWS IAM e chaves de API OpenAI.
A combinação dessas vulnerabilidades pode levar a um comprometimento completo da plataforma. Uma vez que o JWT_SECRET é vazado, um atacante pode falsificar tokens de administrador para qualquer usuário. Depois que o API_ENCRYPTION_KEY é roubado, todas as senhas da fonte de dados armazenadas no sistema podem ser descriptografadas. É crucial que os usuários do Budibase apliquem os patches de segurança mais recentes o mais rápido possível para mitigar esses riscos.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A popular plataforma low-code de código aberto Budibase lançou recentemente patches de segurança urgentes para corrigir duas vulnerabilidades de alto risco. Essas vulnerabilidades, identificadas como CVE‑2026‑30240 e CVE‑2026‑31816, permitem que invasores burlem a autenticação e roubem chaves confidenciais em ambientes de produção.
A mais ameaçadora delas é a CVE‑2026‑31816, com uma pontuação CVSS de 9.1. A vulnerabilidade reside no middlewareauthorized() da plataforma, usado para proteger todas as interfaces do lado do servidor. Devido à falta de delimitação na expressão regular da função isWebhookEndpoint(), a lógica de validação de requisições é comprometida. Um atacante pode simplesmente concatenar uma característica de caminho como ?/webhooks/trigger nos parâmetros de qualquer requisição para enganar o servidor e pular toda a autenticação e verificação de permissões.
Impacto da Vulnerabilidade:
Bypass Completo de Autenticação: Atacantes podem acessar todas as interfaces da API sem nome de usuário ou senha.
Exposição Total de Dados: Obtém acesso total para criar, ler, atualizar e excluir tabelas de dados, registros, fluxos de automação e plugins.
Ataque Sem Interação: A exploração ocorre puramente no nível da rede, sem necessidade de phishing ou interação do usuário.
Se a primeira vulnerabilidade abre as portas do sistema, a CVE‑2026‑30240 (CVSS 9.6) permite que usuários com permissões de "construtor" comprometam completamente toda a plataforma. Essa vulnerabilidade existe na interface de processamento ZIP do aplicativo web progressivo (PWA). Ao carregar um pacote ZIP malicioso (contendo um icons.json adulterado), um usuário pode realizar um ataque de path traversal usando a função path.join() sem filtragem.
Isso permite que um atacante leia arquivos arbitrários no servidor, incluindo /proc/1/environ, que normalmente armazena todas as variáveis de ambiente. A exploração bem-sucedida dessa vulnerabilidade permite a escalada de privilégios e a execução remota de código.
Impacto da Vulnerabilidade:
Roubo de Segredos: Permite roubar informações confidenciais cruciais, como chaves JWT, credenciais de banco de dados e tokens de API.
Risco Multi-Tenant: Em serviços de nuvem Budibase, um construtor em um único tenant pode roubar chaves globais da plataforma, afetando todos os usuários.
Verificação em Cenário Real: Pesquisadores reproduziram com sucesso a vulnerabilidade em um ambiente de produção, obtendo 19 chaves cruciais, incluindo chaves AWS IAM e chaves de API OpenAI.
A combinação dessas vulnerabilidades pode levar a um comprometimento completo da plataforma. Uma vez que o JWT_SECRET é vazado, um atacante pode falsificar tokens de administrador para qualquer usuário. Depois que o API_ENCRYPTION_KEY é roubado, todas as senhas da fonte de dados armazenadas no sistema podem ser descriptografadas. É crucial que os usuários do Budibase apliquem os patches de segurança mais recentes o mais rápido possível para mitigar esses riscos.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
