Budibase — это платформа с низким кодом для создания внутренних инструментов, рабочих процессов и панелей администратора. В версии 3.24.0 и более ранних версиях существует уязвимость для загрузки произвольных файлов, даже если настроены ограничения на расширение файлов. Ограничение применяется только на уровне пользовательского интерфейса.
Злоумышленник может обойти эти ограничения и загрузить вредоносные файлы.
Показать оригинальное описание (EN)
Budibase is a low code platform for creating internal tools, workflows, and admin panels. In 3.24.0 and earlier, an arbitrary file upload vulnerability exists even though file extension restrictions are configured. The restriction is enforced only at the UI level. An attacker can bypass these restrictions and upload malicious files.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Budibase Budibase
cpe:2.3:a:budibase:budibase:*:*:*:*:*:*:*:*
|
— |
<= 3.24.0
|