CVE-2026-46426 in budibaseinformação

Sumário

de VulDB • 28/05/2026

O Budibase é uma plataforma low-code de código aberto. Antes da versão 3.38.2, o endpoint de upload de arquivos POST /api/attachments/process não aplica restrições de conteúdo ativo para usuários autenticados. As verificações de extensões de arquivo perigosas estão condicionalmente encapsuladas dentro de if (isPublicUser) ou if (isPublicUser || !env.SELF_HOSTED), o que significa que qualquer construtor autenticado pode carregar conteúdo web executável — arquivos SVG com tags inline, páginas HTML com JavaScript, módulos .js — que são então armazenados no armazenamento de objetos (MinIO/S3) com seus tipos MIME corretos. Quando a URL assinada resultante é aberta por qualquer usuário do aplicativo, o navegador executa a carga útil. O impacto é um XSS armazenado persistente (Stored XSS) sobre todos os usuários finais da aplicação. Esta vulnerabilidade foi corrigida na versão 3.38.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

14/05/2026

Divulgação

27/05/2026

Moderação

aceite

Entrada

VDB-366495

CPE

pronto

CWE

CWE-79 (confirmado)

CVSS

7.6 (CNA)

EPSS

0.00033

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-46426
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-46426
CVE Details	https://www.cvedetails.com/cve/CVE-2026-46426/

◂ Voltar Visão Geral Próximo ▸

Do you know our Splunk app?

Download it now for free!