CVE-2026-48147 in budibaseinformation

Résumé

par VulDB • 03/06/2026

Budibase est une plateforme low-code open source. Avant la version 3.35.4, les fonctions buildMatcherRegex() / matches() dans packages/backend-core/src/middleware/matchers.ts compilent les motifs de routage en expressions régulières non ancrées et les testent contre ctx.request.url, qui inclut la chaîne de requête complète. Le middleware CSRF dans le Worker Budibase utilise ce système de correspondance pour décider s'il doit ignorer la validation du jeton CSRF. Un attaquant non authentifié peut forger des requêtes cross-origin modifiant l'état contre n'importe quel point de terminaison de l'API Worker en injectant un motif de route publique dans la chaîne de requête, ce qui amène le middleware CSRF à ignorer entièrement la validation du jeton. Cela permet des actions telles que l'envoi d'invitations administrateur, la modification de la configuration globale et la gestion des utilisateurs sans jeton CSRF valide. Cette vulnérabilité est corrigée dans la version 3.35.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

21/05/2026

Divulgation

27/05/2026

Modérer

accepté

Entrée

VDB-366491

CPE

prêt

EPSS

0.00014

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-48147
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-48147
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-48147/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!