CVE-2026-41428 — 神龙十问 AI 深度分析摘要

🚨 **本质**：授权绕过漏洞。攻击者利用**非锚定正则表达式**匹配 URL，将私有接口伪装成公共端点。后果：直接**绕过所有身份验证**，导致未授权访问。

🛡️ **CWE-287**：身份验证绕过。缺陷点在于中间件使用**非锚定正则**匹配 `ctx.request.url`，无法精准区分路径与查询参数，导致逻辑判断失效。

📦 **受影响**：Budibase 低代码平台。具体版本：**3.35.4 之前**的所有版本。这是英国开源的内部应用构建工具。

💻 **黑客能力**：无需凭证即可访问**私有 API**。可读取敏感数据、修改配置或执行管理面板操作，造成**高机密性**和**高可用性**损失。

🔓 **门槛极低**：CVSS 评分显示 **PR:N**（无需认证）。攻击者只需构造特定的 URL 查询参数，即可欺骗中间件，无需任何前置权限。

📄 **现状**：目前**无公开 PoC** 或在野利用报告。参考链接指向 GitHub 安全公告，建议关注官方后续动态。

🔍 **自查方法**：检查 Budibase 版本是否 < 3.35.4。扫描时关注 URL 中是否包含可疑的**查询参数拼接**，尝试访问内部端点看是否返回 200 而非 401/403。

✅ **修复状态**：官方已发布安全公告 (GHSA-8783-3wgf-jggf)。请升级至 **3.35.4 或更高版本**以修复正则匹配逻辑。

🚧 **临时规避**：若无法立即升级，建议在 WAF 或反向代理层**严格限制 URL 查询参数**的格式，或手动拦截包含内部端点路径的查询请求。

⚡ **优先级：高**。CVSS 向量显示 **C:H** (高机密性) 和 **A:H** (高可用性)。由于无需认证即可利用，建议**立即升级**或实施网络层缓解措施。