CVE-2026-35216Budibase是一个开源低代码平台。在3.33.4版本之前,由于公共Webhook端点的安全缺陷,未经身份验证的攻击者可以通过触发包含Bash步骤的自动化任务,在Budibase服务器上实现远程代码执行(RCE)。该漏洞利用无需任何用户交互或认证,且由于容器内进程以root权限运行,攻击者一旦成功利用将获得服务器最高控制权。该问题已在3.33.4版本中得到修复。
该漏洞的根本原因在于Budibase对公共Webhook端点的访问控制存在缺陷。在受影响版本中,攻击者无需提供任何凭证即可访问特定的Webhook API端点。当攻击者向该端点发送精心构造的HTTP请求时,可以触发服务器端预定义的自动化工作流。如果该自动化工作流中包含“Bash步骤”或允许执行系统命令的操作,服务器将解析并执行攻击者注入的恶意命令。由于Docker容器内的Budibase服务通常以root用户身份运行,因此被触发的命令也将继承root权限。这使得攻击者能够完全控制容器环境,进而读取敏感数据、安装后门或横向移动到内网。攻击向量通过网络发起,攻击复杂度较低,无需用户交互即可造成机密性、完整性和可用性的全面破坏。