@budibase/server: endpoint POST /api/attachments/:datasourceId/url sem middleware de autorização
O endpoint POST /api/attachments/:datasourceId/url não possui middleware de autorização, permitindo que atacantes anônimos obtenham URLs PUT pré-assinadas do S3 usando as credenciais IAM da vítima.
O que mudou
O endpoint POST /api/attachments/:datasourceId/url não possui middleware de autorização, permitindo que atacantes anônimos obtenham URLs PUT pré-assinadas do S3 usando as credenciais IAM da vítima. O parâmetro bucket é controlado pelo atacante, possibilitando escrita em qualquer bucket S3 que as credenciais tenham acesso.
Quem isso afeta
Todas as instâncias do Budibase com datasources S3 configurados. Qualquer atacante anônimo que conheça ou consiga enumerar um workspace ID e datasource ID pode explorar.
O que fazer hoje
Aplique a correção: adicione o middleware authorized(BUILDER) à rota e fixe o bucket para datasource.config.bucket no controller. Como alternativa, restrinja o acesso de rede ao endpoint ou desabilite datasources S3 até que o patch seja aplicado.