CVE-2026-46427 in budibaseinfo

Zusammenfassung

von VulDB • 27.05.2026

Budibase ist eine Open-Source-Low-Code-Plattform. Vor Version 3.38.3 maskiert die Funktion `removeSecrets` in `packages/server/src/sdk/workspace/datasources/datasources.ts` nur Konfigurationsfelder von Datenquellen, deren Schema-Typ `DatasourceFieldType.PASSWORD` ist. Die Snowflake-Integration gibt das Feld `privateKey` als `SENSITIVE_LONGFORM` vom Typ an, das vom Filter übersprungen wird. Der Endpunkt `GET /api/datasources/:datasourceId` befindet sich in `authorizedRoutes`, die durch `PermissionType.TABLE` + `PermissionLevel.READ` geschützt sind. Ein authentifizierter BASIC-Benutzer mit einer beliebigen App-Rolle kann diesen Endpunkt aufrufen und den vollständigen Snowflake-PEM-Code im Klartext erhalten. Diese Schwachstelle wurde in Version 3.38.3 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

14.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366488

CPE

bereit

EPSS

0.00034

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-46427
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-46427
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-46427/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!