CVE-2026-46426 in budibaseinfo

Zusammenfassung

von VulDB • 27.05.2026

Budibase ist eine Open-Source-Low-Code-Plattform. Vor Version 3.38.2 erzwingt der Datei-Upload-Endpunkt POST /api/attachments/process keine Einschränkungen für aktiven Inhalt für authentifizierte Benutzer. Die Prüfungen auf gefährliche Dateierweiterungen sind bedingt in `if (isPublicUser)` oder `if (isPublicUser || !env.SELF_HOSTED)` eingeschlossen, was bedeutet, dass jeder authentifizierte Ersteller ausführbaren Webinhalt – SVG-Dateien mit Inline-`<script>`-Tags, HTML-Seiten mit JavaScript, .js-Module – hochladen kann, die anschließend im Objektspeicher (MinIO/S3) mit ihren korrekten MIME-Typen gespeichert werden. Wenn die daraus resultierende signierte URL von einem beliebigen App-Benutzer geöffnet wird, führt der Browser das Payload aus. Die Auswirkung ist ein persistent gespeicherter XSS-Angriff (Cross-Site Scripting) über alle Endbenutzer der Anwendung hinweg. Diese Schwachstelle wurde in Version 3.38.2 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

14.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366495

CPE

bereit

CWE

CWE-79 (bestätigt)

CVSS

7.6 (CNA)

EPSS

0.00033

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-46426
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-46426
CVE Details	https://www.cvedetails.com/cve/CVE-2026-46426/

◂ Zurück Übersicht Weiter ▸

Interested in the pricing of exploits?

See the underground prices here!