CVE-2026-27702 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Budibase 视图过滤功能存在不安全的 `eval()` 调用。 💥 **后果**：攻击者可执行任意 JavaScript 代码，导致服务器被控及敏感数据泄露。

🔍 **CWE**：CWE-20（输入验证不当）。 📍 **缺陷点**：视图过滤逻辑中直接使用了 `eval()` 处理用户输入，未做严格过滤。

📦 **厂商**：Budibase。 📅 **版本**：3.30.4 之前的所有版本。 🏢 **背景**：英国开源低代码平台，用于快速构建内部应用。

🔓 **权限**：任意经过身份验证的用户。 💾 **数据**：可在服务器执行 JS，窃取环境变量中的 **密钥** 和 **凭据**。 ⚠️ **影响**：机密性(H)、完整性(H)、可用性(L) 均受影响。

🔑 **认证**：需要 **身份验证** (PR:L)。 🌐 **网络**：远程可攻击 (AV:N)。 🚀 **难度**：低 (AC:L)，无需用户交互 (UI:N)。

📜 **PoC**：数据中未提供现成 Exploit。 🌍 **在野**：暂无在野利用报告。 🔗 **参考**：GitHub Security Advisory (GHSA-rvhr-26g4-p2r8)。

🔎 **自查**：检查 Budibase 版本是否 < 3.30.4。 📊 **扫描**：关注视图过滤接口是否存在未过滤的 `eval` 调用。 📝 **日志**：监控异常 JavaScript 执行日志。

✅ **已修复**：官方已发布补丁。 📥 **升级**：请升级至 **3.30.4** 或更高版本。 🔗 **链接**：GitHub Release 3.30.4。

🛡️ **缓解**：若无法升级，限制视图过滤功能的访问权限。 🚫 **隔离**：最小化应用运行时的环境变量权限。 🔒 **WAF**：尝试拦截包含 `eval` 或异常 JS 语法的请求。

⚡ **优先级**：高 (CVSS 3.1 高分)。 📢 **建议**：立即升级！虽然需要认证，但攻击成本低且后果严重（凭据泄露）。