概要
Budibase に おける サーバーサイドリクエストフォージェリ(SSRF)の 脆弱性 です。REST データソース の クエリ プレビュー 機能 を 悪用 する こと で、攻撃者 が サーバー 側 から 任意 の 内部 リソース へ リクエスト を 送信 できて しまう 問題 が 存在 します。
CWE-918(Server-Side Request Forgery)に 分類 される この 問題 に より、クラウド 環境 の メタデータ エンドポイント(例: AWS IMDSv1)や 内部 ネットワーク 上 の サービス へ の 不正 アクセス が 可能 と なります。認証 情報 の 窃取 や 内部 システム の 情報 収集 に 悪用 される おそれ が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.7 (High) |
| CWE | CWE-918(サーバーサイドリクエストフォージェリ) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 低 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- Budibase(3.30.6 以前)
修正バージョンと回避策
- 修正バージョン: 2026年3月22日 時点 で 未 パッチ。ベンダー の アドバイザリ を 確認 してください
- 暫定回避策: REST データソース の クエリ プレビュー 機能 へ の アクセス を 信頼 できる ユーザー に 制限 する。クラウド 環境 で は IMDSv2 を 有効化 し、ネットワーク レベル で 内部 エンドポイント へ の アクセス を 制限 する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。