budibase budibase 访问控制不恰当

CVE编号

CVE-2022-3225

利用情况

暂无

补丁情况

N/A

披露时间

2022-09-17

漏洞描述

Improper Access Control in GitHub repository budibase/budibase prior to 1.3.20.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/budibase/budibase/commit/d35864be0854216693a01307f81ffcabf6d549df
https://huntr.dev/bounties/a13a56b7-04da-4560-b8ec-0d637d12a245

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	budibase	budibase	*		Up to (excluding) 1.3.20
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	kernel	*		Up to (excluding) 4.19.91-27.al7
	运行在以下环境
	系统	amazon_2	kernel	*		Up to (excluding) 5.10.126-117.518.amzn2
	运行在以下环境
	系统	amazon_2022	kernel	*		Up to (excluding) 5.15.73-45.135.amzn2022
	运行在以下环境
	系统	amazon_2023	kernel	*		Up to (excluding) 6.1.10-15.42.amzn2023
	运行在以下环境
	系统	anolis_os_7	kernel	*		Up to (excluding) 3.10
	运行在以下环境
	系统	anolis_os_8	kernel	*		Up to (excluding) 4.18
	运行在以下环境
	系统	centos_7	kpatch-patch	*		Up to (excluding) 3.10.0-1160.71.1.el7
	运行在以下环境
	系统	centos_8	kernel	*		Up to (excluding) 4.18.0-372.19.1.el8_6
	运行在以下环境
	系统	opensuse_5.2	kernel	*		Up to (excluding) 5.3.18-150300.59.90.1.150300.18.52.1
	运行在以下环境
	系统	opensuse_Leap_15.3	kernel	*		Up to (excluding) 5.3.18-150300.59.90.1
	运行在以下环境
	系统	opensuse_Leap_15.4	dtb-al	*		Up to (excluding) 5.14.21-150400.24.21.2
	运行在以下环境
	系统	redhat_7	kpatch-patch-3_10_0-1160_36_2	*		Up to (excluding) 3.10.0-1160.71.1.el7
	运行在以下环境
	系统	redhat_8	kernel	*		Up to (excluding) 4.18.0-372.19.1.el8_6
	运行在以下环境
	系统	redhat_9	kpatch-patch	*		Up to (excluding) 5.14.0-70.17.1.el9_0

CVSS3评分 5.7

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 需要
• 可用性 无
• 保密性 无
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N

CWE-ID	漏洞类型
CWE-284	访问控制不恰当
CWE-913	动态管理代码资源的控制不恰当

Exp相关链接

- avd.aliyun.com