CVE-2026-48146 in budibase
要約
〜によって VulDB • 2026年05月27日
Budibaseはオープンソースのローコードプラットフォームです。バージョン3.39.0より前では、packages/server/src/sdk/workspace/oauth2/utils.ts内のOAuth2トークンフェッチ関数が、SSRF保護を伴わない生のfetch(config.url)を使用していました。安全なラッパーであるfetchWithBlacklist()は同じコードベースに存在し、他のすべての外部HTTP呼び出し(自動化ステップ、プラグインのダウンロード、オブジェクトストレージ)で使用されていましたが、OAuth2トークンエンドポイントには適用されていませんでした。BUILDERロールを持つユーザーは、OAuth2トークンURLを内部サービス(CouchDB、クラウドメタデータなど)に向け、機密データを外部に漏洩させることができます。この脆弱性はバージョン3.39.0で修正されました。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.