低代码平台 Budibase 近日推送了一则紧急安全更新一口气修补了两枚足以撼动生产环境的严重漏洞。编号分别为 CVE‑2026‑31816 与 CVE‑2026‑30240前者能让攻击者直接绕过登录、裸奔访问全部接口后者则允许内部构建者通过一份恶意压缩包读取服务器任意文件包括存放核心密钥的环境变量。两个漏洞叠加基本等同于把整栋房子的钥匙交给了陌生人。一、CVE‑2026‑31816一个正则表达式漏写边界整道认证大门形同虚设这次事件中最先被外界关注的是 CVE‑2026‑31816CVSS 评分 9.1属于认证绕过类漏洞里的顶格风险。问题的根子出在 Budibase 服务端统一使用的authorized()中间件上。该中间件负责给所有 API 接口把关正常情况下请求必须先过身份校验才能拿到数据。然而其中isWebhookEndpoint()函数在匹配路径时正则表达式没有加边界限定导致校验逻辑出现了致命的误判。攻击者要做的极其简单在任意请求的 URL 参数里拼接一段类似?/webhooks/trigger的路径特征服务端就会误以为这是合法的 Webhook 调用直接放行跳过所有身份认证与权限检查。这意味着什么攻击者不需要账号、不需要密码、不需要钓鱼邮件只要网络能通就能直接调用平台的全部 API。数据表、业务记录、自动化流程、插件配置——全部暴露在裸奔状态下增删改查随他心意。二、CVE‑2026‑30240ZIP 解压不滤路径构建者权限秒变万能钥匙如果说第一个漏洞是外人翻窗而入那么 CVE‑2026‑30240CVSS 9.6则是内鬼直接打开保险柜。Budibase 支持渐进式 Web 应用PWA允许用户上传 ZIP 压缩包来导入应用资源。问题就藏在 ZIP 文件的解析逻辑里后端在处理压缩包内的icons.json时直接拿文件名拼进了path.join()没有做过滤也没有限制路径范围。攻击者只需构造一个内含篡改后icons.json的恶意 ZIP把文件名写成../../../proc/1/environ这类跨目录路径就能在解压时触发目录遍历把服务器上的敏感文件拽出来。/proc/1/environ这个文件在 Linux 容器环境里通常保存着进程启动时的全部环境变量。对 Budibase 这类平台来说环境变量里往往躺着 JWT 签名密钥、数据库连接串、第三方 API 令牌、云厂商 IAM 凭证——全是命脉。三、从读文件到完全控平台漏洞组合杀伤链单独看这两个漏洞已经够疼。但真正让安全团队捏把汗的是它们的组合效应。研究人员在真实生产环境里做了验证利用 CVE‑2026‑30240 的路径遍历成功从服务器环境变量中捞出了 19 项核心密钥包括 AWS IAM 密钥和 OpenAI API 密钥。拿到JWT_SECRET后攻击者可以自行签发任意用户身份的管理员令牌平台里谁是谁、谁能干什么全由攻击者说了算。如果再拿到API_ENCRYPTION_KEY系统中所有已加密存储的数据源密码也能被逐一还原。在 Budibase 的云服务架构下这种风险还会跨租户蔓延。单个租户的构建者一旦动起歪心思窃取的很可能是平台级别的全局密钥最终波及所有用户。四、影响面与修复建议受影响版本官方通告覆盖的多个近期版本均存在风险具体可查阅 Budibase 安全公告页面。当前风险等级认证完全绕过零交互即可远程利用任意文件读取生产密钥直接暴露跨租户密钥泄露云服务用户面临连带威胁应急与加固立即升级这是最直接有效的手段官方补丁已封堵正则边界与 ZIP 路径过滤两处缺陷。轮换密钥如果平台运行时间较长建议批量重置 JWT 密钥、数据库密码及所有第三方 API 凭证防止已被窃取的密钥长期有效。网络隔离对 Budibase 实例做访问控制限制公网暴露面尤其是管理后台与 API 端口。审计日志回查近期访问日志重点排查带webhooks特征的异常请求以及非管理员账号的异常 ZIP 上传行为。环境变量脱敏审视容器或宿主机上的环境变量配置敏感凭证尽量移入专用密钥管理服务避免直接落地在/proc/1/environ可读区域。低代码平台的优势在于快速搭建、降低开发门槛但这也意味着安全边界被大量封装在黑盒之中。一旦底层中间件或文件处理逻辑出现疏漏风险往往会被放大到整个租户甚至平台层面。这次 Budibase 的双漏洞事件再次给所有使用低代码、无代码方案的团队提了个醒便利不能替代安全基线补丁的优先级永远该排在功能迭代前面。