关键信息汇总 漏洞类型: 权限提升(通过API滥用) 受影响的包: Budibase App (SaaS) 严重性: 严重 CVE ID: CVE-2026-25040 报告者: Ismail Hassan (manhasino@gmail.com) 漏洞详情: - 摘要: Creator级别的用户,通常没有邀请用户的UI权限,可以通过操纵API请求来邀请具有任何角色的新用户,包括管理员、创建者或应用程序查看者,并将他们分配给组织中的任何组。这允许完全权限提升,绕过UI限制,并可能导致工作区或组织的完全接管。 - 详细信息: - 在 Budibase 中,用户角色如下定义: - 工作区管理员: 对账户中所有应用程序和设置具有完全访问权限。 - 创建者: 可以创建和编辑他们有权访问的应用程序。 - 应用程序用户: 只能使用他们有权访问的已发布应用程序。 - 然而,API 并没有一致地强制执行基于角色的访问控制。特别是: - 创建者用户没有可见的 UI 选项可以邀请用户或分配角色。 - 通过拦截有效的 API 请求(例如,更新自己的个人资料)并对其进行修改以调用邀请端点,创建者可以绕过 UI 和服务器端的角色检查。 - API 不验证请求用户的权限,以进行用户创建、角色分配或组成员资格。 - 这种行为极其危险,因为创建者的客户端仪表板上没有此操作的任何证据,使得检测非常困难。 - 攻击者可以将自己或另一个帐户邀请为管理员、创建者、应用程序查看者或任何自定义组。 - 攻击向量: 登录为 Creator 用户,确认 UI 没有邀请用户的选项。 捕获一个正常的 API 请求,例如更新个人资料: 修改请求如下: 更改请求体以包含任何具有角色和组的新用户: 发送请求,服务器回应 200 OK,被邀请的用户出现并被分配了指定的权限。 - 影响: - 具有较低权限的 Creator 用户可以提升到管理员或任何其他角色。 - Creator 可以将用户分配给任何组、邀请攻击者,并在工作区中执行所有 CRUD 操作。 - 攻击者可以删除或修改其他管理员,更改所有者的名字,并控制组织,但不能删除所有者。 - 由于 Creator 通常不能通过 UI 邀请用户,因此这种滥用很难从客户端进行检测。 - 这种漏洞可能导致组织或公司的完全接管,危及敏感数据和操作。