概要
オープンソース ローコード プラットフォーム Budibase の REST データソース コネクタ に SSRF(Server-Side Request Forgery)の 脆弱性 が 報告 されています。CVSS 9.6 の Critical 評価 です。
Budibase の SSRF 保護 メカニズム は IP ブラックリスト 方式 を 採用 しています が、BLACKLIST_IPS 環境変数 が 公式 の デプロイ 設定(Docker Compose / Kubernetes 等)で デフォルト 未設定 です。この 変数 が 空 の 場合、ブラックリスト チェック 関数 は 無条件 に false を 返し、すべて の リクエスト が 制限 なく 通過 します。
SSRF に より、攻撃者 は Budibase サーバー から 内部 ネットワーク の リソース に アクセス でき、クラウド メタデータ エンドポイント(169.254.169.254 等)や 内部 サービス へ の 不正 アクセス が 可能 に なります。AWS / GCP / Azure 等 の クラウド 環境 で は、メタデータ API 経由 で 認証情報 が 漏洩 する リスク が あります。
本 CVE の ほか、同バージョン で CVE-2026-35216(認証 なし RCE、CVSS 9.0)と CVE-2026-25044(コマンドインジェクション、CVSS 8.8)も 修正 されています。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSS v3 スコア | 9.6 (Critical) |
| 攻撃元区分 (AV) | ネットワーク |
| 攻撃条件の複雑さ (AC) | 低 |
| 必要な特権 (PR) | なし |
| ユーザー関与 (UI) | なし |
影響を受けるソフトウェア
- 製品名: Budibase
- ベンダー: Budibase
- 影響バージョン: 3.33.4 未満
- デプロイ: Docker / Kubernetes / セルフホスト
修正バージョンと回避策
- 修正版: Budibase 3.33.4
- アップデート が 困難 な 場合 の 緩和策:
BLACKLIST_IPS環境変数 に 内部 ネットワーク の IP 範囲(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16 等)を 明示的 に 設定 する- ネットワーク ポリシー で Budibase サーバー から の 内部 アクセス を 制限 する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。