@budibase/server <=3.39.0: Injeção JSON permite leitura/escrita não autenticada em bancos de dados

Uma vulnerabilidade de segurança no Budibase server <=3.39.0 permite que atacantes não autenticados leiam ou modifiquem todos os documentos em bancos de dados subjacentes via injeção JSON em queries PUBLIC.

Qualquer implantação do Budibase onde um builder de workspace configurou uma query não-SQL (MongoDB, CouchDB, Elasticsearch, DynamoDB-PartiQL ou REST com bodyType=json) com role PUBLIC e publicou o app.

Atualize o Budibase server para uma versão corrigida imediatamente; se não disponível, restrinja queries PUBLIC ou desabilite-as até que uma correção seja aplicada.