Budibase — это платформа low-code с открытым исходным кодом. До версии 3.23.25 в функции сброса пароля Budibase существовала уязвимость бизнес-логики из-за отсутствия механизмов ограничения скорости, CAPTCHA или предотвращения злоупотреблений на конечной точке «Забыли пароль». Злоумышленник, не прошедший проверку подлинности, может неоднократно инициировать запросы на сброс пароля для одного и того же адреса электронной почты, в результате чего за короткое время отправляются сотни писем со сбросом пароля.
Это обеспечивает крупномасштабную рассылку электронной почты, преследование пользователей, отказ в обслуживании (DoS) в почтовых ящиках пользователей, а также потенциальное финансовое и репутационное воздействие на Budibase. Эта проблема исправлена в версии 3.23.25.
Показать оригинальное описание (EN)
Budibase is an open-source low-code platform. Prior to version 3.23.25, a business logic vulnerability exists in Budibase’s password reset functionality due to the absence of rate limiting, CAPTCHA, or abuse prevention mechanisms on the “Forgot Password” endpoint. An unauthenticated attacker can repeatedly trigger password reset requests for the same email address, resulting in hundreds of password reset emails being sent in a short time window. This enables large-scale email flooding, user harassment, denial of service (DoS) against user inboxes, and potential financial and reputational impact for Budibase. This issue has been patched in version 3.23.25.
Характеристики атаки
Последствия
Строка CVSS v3.1