CVE-2026-35214Budibase是一个开源低代码平台。在3.33.4版本之前,其插件文件上传端点存在安全漏洞。该端点未对用户提供的文件名进行路径遍历序列清理,直接传递给createTempFolder()。拥有Global Builder权限的攻击者可利用此漏洞,通过精心构造包含../的多部分上传请求,删除任意目录或通过tarball提取在文件系统任意位置写入文件。
该漏洞源于Budibase插件上传功能的输入验证缺失。具体来说,当处理插件上传请求时,服务器从multipart/form-data中提取文件名,并直接将其传递给createTempFolder()函数,而未过滤如“../”的路径遍历字符。由于攻击者需要Global Builder权限,这属于一种高权限下的提权或破坏性攻击。攻击者通过发送特制的HTTP POST请求,其中文件名字段包含遍历序列(如“../../malicious.tar.gz”),服务器在后续处理中会先尝试通过rmSync删除基于该路径的目录,随后解压tar包。这允许攻击者覆盖关键系统文件或写入Webshell,从而完全控制服务器。