Budibase存在高危漏洞 可导致生产环境密钥全面泄露

其中最具威胁的是 CVE‑2026‑31816，CVSS 评分高达 9.1。

漏洞源于平台用于保护所有服务端接口的 authorized() 中间件，因 isWebhookEndpoint() 函数中的正则表达式未做边界限定，导致请求校验逻辑异常。攻击者只需在任意请求的参数中拼接类似 ?/webhooks/trigger 的路径特征，即可欺骗服务器跳过全部身份认证与权限校验。

完全权限绕过：攻击者无需用户名、密码即可访问全部 API 接口。

数据全面暴露：获得数据表、记录、自动化流程与插件的完整增删改查权限。

无交互攻击：纯网络层面利用，无需钓鱼、无需用户操作即可触发。

该漏洞存在于渐进式 Web 应用（PWA）的 ZIP 处理接口中。用户上传构造好的恶意 ZIP 压缩包（内含篡改的 icons.json），可利用未做过滤的 path.join() 实现路径遍历攻击。

攻击者能够读取服务器上任意文件，包括 /proc/1/environ，该文件通常存储全部环境变量。

密钥窃取：可窃取 JWT 密钥、数据库凭证、API 令牌等核心敏感信息。

跨租户风险：在 Budibase 云服务中，单个租户的构建者可窃取平台全局密钥，影响所有用户。

实测验证：研究人员已在生产环境复现成功，成功获取 19 项核心密钥，包括 AWS IAM 密钥与 OpenAI API 密钥。

上述漏洞组合可实现对整个平台的完全攻陷。

一旦泄露 JWT_SECRET，攻击者可伪造任意用户的管理员令牌；窃取 API_ENCRYPTION_KEY 后，则能解密系统中所有存储的数据源密码。