Budibase는 오픈 소스 로우 코드 플랫폼입니다. 3.39.9 이전에는 Budibase의 웹후크 트리거 엔드포인트에 공개적으로 액세스할 수 있으며 전체 HTTP 요청 본문을 자동화 실행 매개변수에 전달합니다. externalTrigger()의 대량 할당 취약성으로 인해 공격자가 내부 appId 속성을 웹훅 POST 본문에 포함시켜 덮어쓸 수 있습니다. 자동화가 비동기식으로 처리되면(수집 단계가 없는 웹후크의 기본 경로) 작업자는 공격자 정의를 실행합니다.
Budibase는 오픈 소스 로우 코드 플랫폼입니다. 3.39.9 이전에는 Budibase의 웹후크 트리거 엔드포인트에 공개적으로 액세스할 수 있으며 전체 HTTP 요청 본문을 자동화 실행 매개변수에 전달합니다. externalTrigger()의 대량 할당 취약성으로 인해 공격자가 내부 appId 속성을 웹훅 POST 본문에 포함시켜 덮어쓸 수 있습니다. 자동화가 비동기식으로 처리되면(수집 단계가 없는 웹후크의 기본 경로) 작업자는 피해자의 작업 공간 컨텍스트에서 공격자가 정의한 자동화를 실행하여 피해자의 데이터베이스에 대한 전체 읽기/쓰기 액세스 권한을 부여합니다. 이 취약점은 3.39.9에서 수정되었습니다.
| 소스 | CVSS 버전 | 기본 점수 | 심각도 | 벡터 문자열 | 평가일 |
|---|---|---|---|---|---|
| NVDNIST | 3.1 | 8.2 | HIGH | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N | 2026. 06. 27. |
| OSV3rd | 3.1 | 8.2 |
| CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N |
| 2026. 06. 23. |