Vulnerabilidad en Budibase (CVE-2026-31816)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)

Fecha de publicación:

09/03/2026

Última modificación:

13/03/2026

Descripción

Budibase es una plataforma de bajo código para crear herramientas internas, flujos de trabajo y paneles de administración. En la versión 3.31.4 y anteriores, el middleware authorized() del servidor de Budibase que protege cada endpoint de API del lado del servidor puede ser completamente eludido al añadir un patrón de ruta de webhook a la cadena de consulta de cualquier solicitud. La función isWebhookEndpoint() utiliza una expresión regular no anclada que se prueba contra ctx.request.url, que en Koa incluye la URL completa con parámetros de consulta. Cuando la expresión regular coincide, el middleware authorized() llama inmediatamente a return next(), omitiendo toda autenticación, autorización, comprobaciones de rol y protección CSRF. Esto significa que un atacante remoto y completamente no autenticado puede acceder a cualquier endpoint de API del lado del servidor simplemente añadiendo ?/webhooks/trigger (o cualquier variante de patrón de webhook) a la URL.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno