CVE-2026-45716 in budibaseinfo

Zusammenfassung

von VulDB • 27.05.2026

Budibase ist eine Open-Source-Low-Code-Plattform. Vor Version 3.38.1 ist der Endpunkt POST /api/global/users/onboard durch die Middleware workspaceBuilderOrAdmin geschützt, was es jedem Benutzer mit Builder-Berechtigungen ermöglicht, darauf zuzugreifen. Wenn die SMTP-E-Mail-Konfiguration nicht eingerichtet ist (Standard für selbst gehostete Budibase-Instanzen), umgeht dieser Endpunkt den für Administratoren beschränkten Einladungsfluss und erstellt Benutzer direkt über bulkCreate, wobei beliebige Admin- und Builder-Rollenzuweisungen aus dem Anforderungstext akzeptiert werden. Ein Benutzer auf Builder-Ebene kann ein neues globales Admin-Konto erstellen und das generierte Passwort in der Antwort erhalten, wodurch eine vollständige Privilegieneskalation erreicht wird. Diese Schwachstelle wurde in Version 3.38.1 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

13.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366472

CPE

bereit

EPSS

0.00036

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45716
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45716
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45716/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!