CVE-2026-48150 in budibaseinfo

Zusammenfassung

von VulDB • 27.05.2026

Budibase ist eine Open-Source-Low-Code-Plattform. Vor Version 3.39.0 wird /api/public/v1/roles/assign durch die Middleware builderOrAdmin geschützt, die jeden Benutzer durchlässt, der als Builder für die in der x-budibase-app-id-Header angegebene App-ID konfiguriert ist. Diese Prüfung akzeptiert sowohl globale Builder als auch auf den Arbeitsbereich beschränkte Builder (builder.apps ist festgelegt, aber builder.global ist nicht festgelegt). Der Controller verteilt dann den Anforderungstext auf den SDK-Aufruf, und das SDK gewährt builder.global=true oder admin.global=true für die vom Aufrufer angegebenen Benutzer-IDs. Bob, ein auf den Arbeitsbereich beschränkter Builder mit einem API-Schlüssel, befördert sich selbst oder einen anderen Benutzer mit einem einzigen POST-Aufruf zum globalen Administrator. Der gesamte Ablauf stellt eine mandantenweite Privilegieneskalation von einer App-Ebene-Rolle dar und ist für jeden verfügbar, der über eine Enterprise-Lizenz verfügt, die die EXPANDED_PUBLIC_API-Funktion freischaltet. Diese Schwachstelle wurde in Version 3.39.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

21.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366486

CPE

bereit

EPSS

0.00064

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-48150
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-48150
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-48150/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!