CVE-2026-46426 in budibaseالمعلومات

الملخص

بحسب VulDB • 28/05/2026

Budibase هو منصة منخفضة الكود مفتوحة المصدر. قبل الإصدار 3.38.2، لا يفرض نقطة نهاية رفع الملفات POST /api/attachments/process قيود المحتوى النشط للمستخدمين المصادق عليهم. يتم تغليف فحوصات الامتدادات الخطرة للملفات بشكل مشروط داخل if (isPublicUser) أو if (isPublicUser || !env.SELF_HOSTED)، مما يعني أن أي مُنشئ مُصادق عليه يمكنه رفع محتوى ويب قابل للتنفيذ — ملفات SVG تحتوي على وسوم مضمنة، صفحات HTML مع JavaScript، وحدات .js — والتي يتم تخزينها بعد ذلك في مستودع الكائنات (MinIO/S3) مع أنواع MIME الصحيحة الخاصة بها. عند فتح عنوان URL الموقع الموقّع الناتج من قبل أي مستخدم للتطبيق، يقوم المتصفح بتنفيذ الحمولة. التأثير هو ثغرة XSS مخزنة دائمة عبر جميع مستخدمي التطبيق. تم إصلاح هذه الثغرة في الإصدار 3.38.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

14/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366495

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

7.6 (CNA)

EPSS

0.00033

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-46426
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-46426
CVE Details	https://www.cvedetails.com/cve/CVE-2026-46426/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!