Budibase: Vulnerabilidades de Injeção SQL em Conectores de Banco de Dados

Três vulnerabilidades de injeção SQL foram descobertas nos conectores de banco de dados do Budibase para PostgreSQL, Microsoft SQL Server e MySQL. Nomes de esquema e tabela controlados pelo usuário são interpolados em consultas SQL brutas sem escape adequado, permitindo que administradores autenticados executem comandos SQL arbitrários, potencialmente levando ao comprometimento total do banco de dados e execução de comandos do sistema operacional.

Todas as instâncias do Budibase que usam fontes de dados PostgreSQL, Microsoft SQL Server ou MySQL com um administrador autenticado que pode modificar configurações de fonte de dados.

Atualize o Budibase para a versão corrigida mais recente imediatamente. Se não estiver disponível, restrinja o acesso à configuração da fonte de dados apenas a administradores confiáveis e considere desabilitar temporariamente os conectores afetados.