CVE-2026-45716 in budibaseinformation

Résumé

par VulDB • 28/05/2026

Budibase est une plateforme low-code open source. Avant la version 3.38.1, le point de terminaison POST /api/global/users/onboard est protégé par le middleware workspaceBuilderOrAdmin, permettant à tout utilisateur disposant de permissions de créateur (builder) d'y accéder. Lorsque la configuration SMTP n'est pas définie (cas par défaut pour les instances Budibase auto-hébergées), ce point de terminaison contourne le flux d'invitation restreint aux administrateurs et crée directement des utilisateurs via bulkCreate, en acceptant des attributions arbitraires de rôles administrateur et créateur depuis le corps de la requête. Un utilisateur de niveau créateur peut créer un nouveau compte administrateur global et recevoir le mot de passe généré dans la réponse, réalisant ainsi une élévation de privilèges complète. Cette vulnérabilité est corrigée dans la version 3.38.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

13/05/2026

Divulgation

27/05/2026

Modérer

accepté

Entrée

VDB-366472

CPE

prêt

EPSS

0.00036

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45716
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45716
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45716/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!