CVE-2026-46427 in budibaseالمعلومات

الملخص

بحسب VulDB • 27/05/2026

Budibase هو منصة منخفضة الكود مفتوحة المصدر. قبل الإصدار 3.38.3، كانت الدالة `removeSecrets` الموجودة في `packages/server/src/sdk/workspace/datasources/datasources.ts` تقوم بإخفاء حقول تكوين مصدر البيانات (datasource config fields) التي يكون نوع مخططها (schema type) هو `DatasourceFieldType.PASSWORD` فقط. أنواع تكامل Snowflake تعرّف حقل `privateKey` على أنه `SENSITIVE_LONGFORM`، وهو ما يتجاهله الفلتر. ينتهي المسار `GET /api/datasources/:datasourceId` إلى `authorizedRoutes` المحمية بواسطة `PermissionType.TABLE` و `PermissionLevel.READ`. يمكن لمستخدم مُصادَق عليه باستخدام المصادقة الأساسية (BASIC) يمتلك أي دور في التطبيق استدعاء نقطة النهاية هذه واستلام ملف PEM الكامل الخاص بـ Snowflake كنص واضح (plaintext). تم إصلاح هذا الثغرة الأمنية في الإصدار 3.38.3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

14/05/2026

إفشاء

27/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366488

CPE

جاهز

CWE

CWE-200 (مؤكد)

CVSS

7.7 (CNA)

EPSS

0.00034

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-46427
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-46427
CVE Details	https://www.cvedetails.com/cve/CVE-2026-46427/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!