用户希望我总结网页截图中的漏洞信息。 1. 识别页面内容:这是一个 GitHub 的 Release 页面,项目是 ,版本是 。 2. 提取关键信息: 漏洞概述 (What's Changed): -> 修复默认阻止内部 REST 目标的问题(可能涉及 SSRF 或内部网络访问)。 -> 修复插件上传时的临时路径遍历漏洞。 -> 修复 Bash 自动化命令注入漏洞。 -> 移除传递依赖,更新数据库镜像中的 cloiseau(通常是为了修复依赖漏洞)。 -> 在本地开发中禁用 REST 黑名单(这看起来是修复的一部分,或者是相关配置调整)。 影响范围: 从 "Full Changelog: 3.33.3...3.33.4" 可以看出,受影响的是 3.33.3 及之前的版本(直到 3.33.4 修复)。 具体涉及:REST 目标、插件上传、Bash 自动化、数据库镜像依赖。 修复方案: 升级到版本 。 页面底部提供了 和 下载链接,以及 和 。 POC/利用代码: 页面中没有直接提供 POC 代码或利用代码。只有修复说明(Fix ...)。 3. 组织语言: 标题:Budibase 3.33.4 安全更新总结 漏洞概述:列出修复的几个主要漏洞(路径遍历、命令注入、REST 目标限制)。 影响范围:3.33.3 及更早版本。 修复方案:升级至 3.33.4。 代码块:无。 4. 最终检查:确保没有包含导航栏、页脚等无关信息。确保语言简洁。 Self-Correction: 用户要求“如果页面中包含POC代码或利用代码,务必完整提取代码块”。这里没有,所以不需要提取。 Refinement: 将 "Fix block internal REST targets" 解释得更清楚一点,可能是防止 SSRF。 "Fix plugin upload temp path traversal" 是路径遍历。 "Fix bash automation command injection" 是命令注入。 5. 生成输出。 Budibase 3.33.4 安全更新总结 漏洞概述 本次更新(版本 3.33.4)修复了多个安全漏洞,主要包括: REST 目标限制:默认阻止内部 REST 目标(Fix block internal REST targets by default)。 路径遍历漏洞:修复了插件上传时的临时路径遍历问题(Fix plugin upload temp path traversal)。 命令注入漏洞:修复了 Bash 自动化中的命令注入问题(Fix bash automation command injection)。 依赖更新:移除了传递依赖并更新了数据库镜像中的 组件。 影响范围 受影响版本:3.33.3 及更早版本(根据 Full Changelog 推断)。 受影响组件:REST 接口、插件上传功能、Bash 自动化功能、数据库镜像。 修复方案 升级 Budibase 至最新版本 3.33.4。 可通过页面底部的 "Assets" 区域下载源码包(Source code zip/tar.gz)进行更新。 POC/利用代码 页面中未包含 POC 代码或利用代码。