CVE-2026-45716 in budibaseinformación

Resumen

por VulDB • 2026-05-27

Budibase es una plataforma low-code de código abierto. Antes de la versión 3.38.1, el endpoint POST /api/global/users/onboard está protegido por el middleware workspaceBuilderOrAdmin, lo que permite que cualquier usuario con permisos de builder (constructor) acceda a él. Cuando el correo electrónico SMTP no está configurado (el valor predeterminado para las instancias de Budibase autoalojadas), este endpoint elude el flujo de invitación restringido a administradores y crea usuarios directamente mediante bulkCreate, aceptando asignaciones arbitrarias de roles de administrador y builder desde el cuerpo de la solicitud. Un usuario con nivel de builder puede crear una nueva cuenta de administrador global y recibir la contraseña generada en la respuesta, logrando una escalada completa de privilegios. Esta vulnerabilidad se corrige en la versión 3.38.1.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-13

Divulgación

2026-05-27

Moderación

aceptado

Artículo

VDB-366472

CPE

listo

EPSS

0.00036

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45716
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45716
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45716/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!