当前位置: 首页 > news >正文

Budibase 曝双重高危漏洞:无需密码即可接管系统,CVSS 最高 9.6

低代码平台 Budibase 近日推送了一则紧急安全更新,一口气修补了两枚足以撼动生产环境的严重漏洞。编号分别为 CVE‑2026‑31816 与 CVE‑2026‑30240,前者能让攻击者直接绕过登录、裸奔访问全部接口;后者则允许内部"构建者"通过一份恶意压缩包读取服务器任意文件,包括存放核心密钥的环境变量。两个漏洞叠加,基本等同于把整栋房子的钥匙交给了陌生人。


一、CVE‑2026‑31816:一个正则表达式漏写边界,整道认证大门形同虚设

这次事件中,最先被外界关注的是 CVE‑2026‑31816,CVSS 评分 9.1,属于"认证绕过"类漏洞里的顶格风险。

问题的根子出在 Budibase 服务端统一使用的authorized()中间件上。该中间件负责给所有 API 接口把关,正常情况下,请求必须先过身份校验才能拿到数据。然而其中isWebhookEndpoint()函数在匹配路径时,正则表达式没有加边界限定,导致校验逻辑出现了致命的"误判"。

攻击者要做的极其简单:在任意请求的 URL 参数里拼接一段类似?/webhooks/trigger的路径特征,服务端就会误以为这是合法的 Webhook 调用,直接放行,跳过所有身份认证与权限检查。

这意味着什么?攻击者不需要账号、不需要密码、不需要钓鱼邮件,只要网络能通,就能直接调用平台的全部 API。数据表、业务记录、自动化流程、插件配置——全部暴露在裸奔状态下,增删改查随他心意。


二、CVE‑2026‑30240:ZIP 解压不滤路径,构建者权限秒变"万能钥匙"

如果说第一个漏洞是"外人翻窗而入",那么 CVE‑2026‑30240(CVSS 9.6)则是"内鬼直接打开保险柜"。

Budibase 支持渐进式 Web 应用(PWA),允许用户上传 ZIP 压缩包来导入应用资源。问题就藏在 ZIP 文件的解析逻辑里:后端在处理压缩包内的icons.json时,直接拿文件名拼进了path.join(),没有做过滤,也没有限制路径范围。

攻击者只需构造一个内含篡改后icons.json的恶意 ZIP,把文件名写成../../../proc/1/environ这类跨目录路径,就能在解压时触发目录遍历,把服务器上的敏感文件拽出来。

/proc/1/environ这个文件在 Linux 容器环境里通常保存着进程启动时的全部环境变量。对 Budibase 这类平台来说,环境变量里往往躺着 JWT 签名密钥、数据库连接串、第三方 API 令牌、云厂商 IAM 凭证——全是命脉。


三、从"读文件"到"完全控平台",漏洞组合杀伤链

单独看,这两个漏洞已经够疼。但真正让安全团队捏把汗的是它们的组合效应。

研究人员在真实生产环境里做了验证:利用 CVE‑2026‑30240 的路径遍历,成功从服务器环境变量中捞出了 19 项核心密钥,包括 AWS IAM 密钥和 OpenAI API 密钥。拿到JWT_SECRET后,攻击者可以自行签发任意用户身份的管理员令牌,平台里谁是谁、谁能干什么,全由攻击者说了算。如果再拿到API_ENCRYPTION_KEY,系统中所有已加密存储的数据源密码也能被逐一还原。

在 Budibase 的云服务架构下,这种风险还会跨租户蔓延。单个租户的"构建者"一旦动起歪心思,窃取的很可能是平台级别的全局密钥,最终波及所有用户。


四、影响面与修复建议

受影响版本:官方通告覆盖的多个近期版本均存在风险,具体可查阅 Budibase 安全公告页面。

当前风险等级:

  • 认证完全绕过,零交互即可远程利用

  • 任意文件读取,生产密钥直接暴露

  • 跨租户密钥泄露,云服务用户面临连带威胁

应急与加固:

  1. 立即升级:这是最直接有效的手段,官方补丁已封堵正则边界与 ZIP 路径过滤两处缺陷。

  2. 轮换密钥:如果平台运行时间较长,建议批量重置 JWT 密钥、数据库密码及所有第三方 API 凭证,防止已被窃取的密钥长期有效。

  3. 网络隔离:对 Budibase 实例做访问控制,限制公网暴露面,尤其是管理后台与 API 端口。

  4. 审计日志:回查近期访问日志,重点排查带webhooks特征的异常请求,以及非管理员账号的异常 ZIP 上传行为。

  5. 环境变量脱敏:审视容器或宿主机上的环境变量配置,敏感凭证尽量移入专用密钥管理服务,避免直接落地在/proc/1/environ可读区域。

低代码平台的优势在于快速搭建、降低开发门槛,但这也意味着安全边界被大量封装在"黑盒"之中。一旦底层中间件或文件处理逻辑出现疏漏,风险往往会被放大到整个租户甚至平台层面。这次 Budibase 的双漏洞事件,再次给所有使用低代码、无代码方案的团队提了个醒:便利不能替代安全基线,补丁的优先级永远该排在功能迭代前面。

http://www.cnnetsun.cn/news/2182445.html

相关文章:

  • OpenClaw 只能手动写脚本?我用 Chrome 插件实现了“录制即生成“
  • Eventbrite MCP服务器:用AI协议连接活动管理与自动化工作流
  • BusHound_v6.0.1破解版
  • 博德之门3模组管理终极指南:用BG3ModManager轻松打造个性化游戏体验
  • Unity技能系统开源框架Resonix-Skill:数据驱动与组件化设计解析
  • Swoole WebSocket + LLM流式输出:从内存泄漏到零GC抖动的8次迭代调优实录
  • Canvas实现动态色彩光标:从原理到性能优化的完整指南
  • 《灵魂摆渡・浮生梦》抢占流量高地,海棠山铁哥《第一大道》凭实力突围出圈
  • MATLAB通信工具箱实战:手把手教你用convenc和vitdec函数搞定卷积编译码
  • 大语言模型推理成本计算与优化实战
  • 云原生配置管理利器:gopaddle-io/configurator 深度解析与实践
  • 大路灯哪个品牌好一些?2026护眼大路灯排名前十的顶级品牌分享
  • 告别70分贝噪音!手把手教你用100W冰箱压缩机DIY静音真空泵(附详细配件清单)
  • 浏览器文本替换插件:让网页内容编辑变得简单
  • 患者主索引(EMPI)系统成最大攻击面?MCP 2026首次定义“隐私计算可信执行环境”建设标准
  • Translumo终极指南:如何在5分钟内掌握Windows实时屏幕翻译神器
  • 深度系统清理工具设计:从原理到实现的安全卸载实践
  • 中小团队如何利用多模型聚合能力优化AI应用开发成本
  • 动态缩放分隔符:提升多图像理解任务性能的新方法
  • Switch大气层系统完整指南:7步掌握自定义固件安装与配置
  • 高等数学下:多元函数微分法及其应用:从曲面到最优化
  • 2026年项目管理软件推荐!这6款主流工具值得试试
  • 从微软验证器到你的App:手把手教你为iOS应用配置自定义URL Scheme(附Xcode 15实战)
  • Keras神经网络可视化:5种核心方法与实战技巧
  • 通用大模型接口any-llm:打破服务商壁垒的技术实践
  • 抖音下载器完整指南:免费批量下载去水印视频的终极解决方案
  • 【仅限持证医疗软件企业】:VSCode 2026合规校验模块调用NIST IR 8259B医疗IoT安全基线库,实时比对2,148条控制项——你的IDE还停留在“语法高亮”?
  • PPTX2HTML技术实现方案:纯前端PPTX文件转换与网页化展示系统集成方法
  • LPF-SPN模型:低精度融合随机多项式网络在多证据推理中的应用
  • 告别配对数据!用PyTorch从零复现Zero-DCE低光增强网络(附完整代码与损失函数详解)