つみかさね

CVE-2026-30240

Critical(9.6)

CVE-2026-30240 — Budibase PWA ZIPパストラバーサル

公開日: 2026-03-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
BudibaseBudibase3.31.5 以前
CVEBudibaseパストラバーサル情報漏洩

概要

Budibase はローコードプラットフォームです。バージョン 3.31.5 以前において、PWA(Progressive Web App)ZIP処理エンドポイント(POST /api/pwa/process-zip)にパストラバーサル脆弱性が存在します。

builder 権限を持つ認証済みユーザーが、アップロードする ZIP 内の icons.json にユーザー制御の入力を含めることで、path.join() のサニタイズ不備を悪用してサーバファイルシステムの任意のファイルを読み取れます。特に /proc/1/environ の読み取りにより、JWT シークレット、データベース認証情報、暗号化キー、API トークンなど、すべての環境変数が一度のリクエストで漏洩します。

読み取られたファイルの内容はオブジェクトストア(MinIO/S3)にアップロードされ、署名付き URL を通じて取得可能です。

CVSSベクトル

項目
CVSSスコア9.6
深刻度Critical
CWECWE-22 (パストラバーサル), CWE-73 (外部制御のファイル名)

影響を受けるソフトウェア

製品ベンダー影響バージョン
BudibaseBudibase3.31.5 以前

修正バージョンと回避策

  • 修正バージョン: Budibase の最新バージョンへのアップデート
  • 暫定回避策: builder 権限を信頼できるユーザーのみに制限する。PWA 機能を利用しない場合は無効化を検討する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-31816Budibase 認証ミドルウェアバイパスCVSS 9.1CVE-2026-25737Budibase 任意ファイルアップロードCVSS 8.9

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-30240
GitHub Advisory:https://github.com/Budibase/budibase/security/advisories/GHSA-pqcr-jmfv-c9cp
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。