CVE-2026-30240

Budibase es una plataforma de bajo código para crear herramientas internas, flujos de trabajo y paneles de administración. En 3.31.5 y versiones anteriores, una vulnerabilidad de salto de ruta en el endpoint de procesamiento de ZIP de PWA (Progressive Web App) (POST /api/pwa/process-zip) permite a un usuario autenticado con privilegios de constructor leer archivos arbitrarios del sistema de archivos del servidor, incluido /proc/1/environ que contiene todas las variables de entorno — secretos JWT, credenciales de base de datos, claves de cifrado y tokens de API. El servidor lee archivos especificados por el atacante a través de path.join() no saneado con entrada controlada por el usuario desde icons.json dentro del ZIP subido, luego sube el contenido del archivo al almacén de objetos (MinIO/S3) donde pueden ser recuperados a través de URLs firmadas. Esto resulta en un compromiso completo de la plataforma ya que todos los secretos criptográficos y las credenciales de servicio son exfiltrados en una sola solicitud.