つみかさね

CVE-2026-35216

Critical(9)

CVE-2026-35216 — Budibase 認証なしリモートコード実行

公開日: 2026-04-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
BudibaseBudibase< 3.33.4

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1Budibaseの利用有無を確認する
  2. 2公開Webhookの利用状況を確認する
  3. 33.33.4以降へアップデートする
  4. 4アップデートが困難な場合は公開Webhookを停止またはアクセス制限する

影響対象

Budibaseセルフホスト利用者

補足

  • -認証なしでサーバー上の任意コマンドが実行可能なため、最優先での対応を推奨します
CVEBudibaseRCEローコードWebhook

概要

オープンソース ローコード プラットフォーム Budibase に 認証 なし リモートコード実行(RCE)の 脆弱性 が 報告 されています。CVSS 9.0 の Critical 評価 です。

Budibase の オートメーション 機能 には Bash コマンド を 実行 する ステップ が あり、これ を 公開 Webhook エンドポイント から トリガー できます。公開 Webhook は 認証 なし で アクセス 可能 な ため、攻撃者 は Budibase サーバー 上 で 任意 の シェルコマンド を 実行 できます。

Bash ステップ は 内部 で execSync を 使用 して ユーザー 提供 の コマンド を 実行 しますが、processStringSync を 経由 する 際 に 適切 な サニタイズ や バリデーション が 行われません。これ により、テンプレート 変数 を 経由 した コマンドインジェクション も 可能 です。

本 CVE は CVE-2026-31818(SSRF、CVSS 9.6)と CVE-2026-25044(コマンドインジェクション、CVSS 8.8)と 同時 に Budibase 3.33.4 で 修正 されています。セルフホスト 環境 で Budibase を 運用 している 場合 は、3件 まとめて 対応 する ことを 推奨 します。

CVSSベクトル

項目
CVSS v3 スコア9.0 (Critical)
攻撃元区分 (AV)ネットワーク
攻撃条件の複雑さ (AC)
必要な特権 (PR)なし
ユーザー関与 (UI)なし

影響を受けるソフトウェア

  • 製品名: Budibase
  • ベンダー: Budibase
  • 影響バージョン: 3.33.4 未満
  • デプロイ: Docker / Kubernetes / セルフホスト

修正バージョンと回避策

  • 修正版: Budibase 3.33.4
  • アップデート が 困難 な 場合 の 緩和策:
    • 公開 Webhook の 利用 を 停止 または 無効化 する
    • Bash 自動化 ステップ を 使用 した オートメーション に 公開 Webhook トリガー を 設定 しない
    • リバースプロキシ で Webhook エンドポイント へ の アクセス を IP 制限 する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-31818Budibase SSRF保護無効化CVSS 9.6CVE-2026-25044Budibase Bash自動化コマンドインジェクションCVSS 8.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-35216
GitHub Release:https://github.com/Budibase/budibase/releases/tag/3.33.4
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。