Budibaseに5件の重大脆弱性 CVE-2026-46425他、v3.39.0へ即更新を
OSSローコード基盤『Budibase』v3.38.0以下に5件の重大脆弱性が同時開示(CVE-2026-46425/48150/45716/45717/48153、CVSS 9.9〜8.5)。SCIM認可欠落・グローバル管理者権限昇格・SSRF等、いずれもv3.39.0で修正済。
堀川 慎
Backend Engineer / AWS / Django
OSSローコード基盤『Budibase』v3.38.0以下に5件の重大脆弱性が同時開示(CVE-2026-46425/48150/45716/45717/48153、CVSS 9.9〜8.5)。SCIM認可欠落・グローバル管理者権限昇格・SSRF等、いずれもv3.39.0で修正済。
OSSローコード/AIエージェント基盤として28,000のGitHub Star数を持つBudibaseに、2026年5月27日、5件の重大な脆弱性が同時開示されました。最高はCVSS 9.9、最低でも8.5で、いずれも認可制御の欠落またはSSRFに分類されます。攻撃成立後はテナント全体のユーザー乗っ取りやグローバル管理者への権限昇格といった甚大なインパクトが想定されます。
影響を受けるのは v3.37.x 系を含む v3.38.0 以下(CVE-2026-48150 と CVE-2026-48153 については v3.38.x も対象)。最新版 v3.39.0 ですべて修正されており、自社ホスティングで運用している組織は最優先でアップデートが必要な水準です。
Budibaseは社内向けの業務アプリ、AIエージェント、ワークフロー自動化を「画面のブロックをマウスでつなぐだけ」で構築できるOSSプラットフォームで、エンタープライズと中小企業の双方で社内基幹システムや承認フロー、ヘルプデスクの自動化に採用が進んでいます。今回の5件は、その「マルチテナント+ロールベース」という基盤の構造的な部分に集中しており、設計レビュー段階での見落としを示唆する事案でもあります。
| CVE | CVSS | 問題 | 修正版 |
|---|---|---|---|
| CVE-2026-46425 | 9.9 | SCIMルーター 認可欠落(テナント全体) | v3.38.2 |
| CVE-2026-48150 | 9.0 | /roles/assignグローバル管理者昇格 | v3.39.0 |
| CVE-2026-45716 | 8.8 | /users/onboardbuilder→admin昇格 | v3.38.1 |
| CVE-2026-45717 | 8.8 | データソース設定改ざん 内部IPへの誘導 | v3.38.1 |
| CVE-2026-48153 | 8.5 | OAuth2 fetchToken SSRF | v3.39.0 |
Budibaseとは何か
Budibaseは、英国のスタートアップが開発するOSSローコード・プラットフォームです。「Engineers save 100s of hours building Agents, Apps and Automations, securely」を掲げ、画面上のブロックをドラッグ&ドロップする操作で、社内向け業務アプリやワークフロー自動化、AIエージェント連携を組み立てられます。Gartnerのローコード分類でも、商用のRetoolやAppsmithと並ぶ位置付けで言及されることが多い製品です。
主な利用シーンは次の通りです。
- 社内ヘルプデスクや申請承認フローを、ノーコードで構築して既存基幹システムと連携
- 社員からのチャット問い合わせをAIエージェントが受け、業務システムから情報を引いて自動回答
- マーケティングや営業の顧客リスト管理など、Excelで運用していた業務をWebアプリ化
- SCIMによるOktaやAzure ADからの自動ユーザープロビジョニング(エンタープライズ機能)
- Docker / Kubernetes / DigitalOcean等での自社ホスティング、もしくはBudibase Cloudでのマネージドホスティング
日本でも、社内DXの旗印として、また「Excel卒業ツール」としての導入が進みつつあり、エンタープライズ向けに導入支援を行うSIerも増えています。今回の5件はマルチテナント機能、グローバルロール管理、エンタープライズSCIM連携、データソース設定、OAuth2連携と、エンタープライズ運用の中枢機能に集中しているため、自社ホスティング組織には影響が直撃する構造です。
5件のCVE詳細
CVE-2026-46425:SCIMルーターの認可欠落(CVSS 9.9)
最重要はCVE-2026-46425。SCIM(System for Cross-domain Identity Management、ID管理プロトコル)のルーターにロールベース・アクセス制御(RBAC)が取り付けられておらず、アドバイザリの表現を借りれば「ワーカーに到達した任意の認証済みユーザー(BASICロール、ワークスペース限定builder、誰でも)」がSCIMエンドポイントを呼び、テナント内のすべてのユーザーとグループをCRUDで操作可能な状態でした。
SCIMはOkta、Azure AD、Google Workspaceなどから「このユーザーを追加して」「このグループから外して」というID管理リクエストを受ける仕組みで、本来はエンタープライズの管理者権限が必要なエンドポイント群です。それがログインさえすれば誰でも触れる状態になっていたため、攻撃成立時はテナント全体の社員アカウントの作成・削除・所属変更を低権限ユーザーが実行できます。攻撃者は侵入したアカウントを起点に、自分自身を管理者グループに加える、競合ユーザーを削除する、全員のメールアドレスを書き換えてパスワードリセット経路を奪う、といった操作を匿名性高く実行できます。修正はv3.38.2。CWE-862(認可欠落)。
CVE-2026-48150:/roles/assignで builder→Global Admin 昇格(CVSS 9.0)
CVE-2026-48150は、Enterprise版で EXPANDED_PUBLIC_API 機能を有効にしている環境が対象です。POST /api/public/v1/roles/assign エンドポイントがユーザー権限を正しく検証しておらず、ワークスペース限定のbuilder権限を持つユーザーが、自身または他人をグローバル管理者に昇格できる状態でした。
ローコードプラットフォームの基本設計として「ワークスペース限定builderは自分のワークスペース内では強い権限を持つが、テナント全体には触れない」という分離が信頼の前提です。CVE-2026-48150はその前提を崩します。EXPANDED_PUBLIC_API機能はEnterprise契約で外部システム連携を強化するための機能ですが、これを有効にしている組織は実質的に「全 builder が潜在的なテナント乗っ取り権限を持っている」状態でした。アドバイザリは CWE-915(オブジェクト属性の不適切な制御)。修正はv3.39.0。
CVE-2026-45716:/users/onboardでSMTP未設定環境からの管理者作成(CVSS 8.8)
CVE-2026-45716はPOST /api/global/users/onboardの権限管理不備で、builderレベルのユーザーが管理者制限の招待フローをバイパスし、新規アカウントに任意の admin / builder ロールを直接付与して作成できる脆弱性です。
特にSMTPメール設定が完了していない(自社ホスティング初期セットアップの既定状態)場合、本来は「招待メールを送って受信者にパスワード設定させる」流れが、レスポンス内に生成されたパスワードがそのまま返ってくる挙動に切り替わります。攻撃者はこのレスポンスを受け取って、その場で新規のグローバル管理者として再ログインできます。アドバイザリは CWE-269(不適切な権限管理)。修正はv3.38.1。
CVE-2026-45717:データソース設定改ざんによる内部IPアクセス(CVSS 8.8)
CVE-2026-45717は、認可されていない non-builder アプリユーザーが、Budibase のデータソース設定を改ざんできる脆弱性です。アドバイザリによれば、データベース接続先を内部IPアドレスにリダイレクトすることで、SSRF防御がないネットワーク構成では認証情報を奪い、内部サービスの偵察にまで足を伸ばせます。
ローコード基盤は「外部のSaaS APIや社内DBに接続する設定情報」を中央集権的に持つ性質上、データソース設定は実質的に「社内ネットワークへの鍵束」です。これを低権限ユーザーが書き換えられる構造は、テナント単位の認可制度を根本から損ねます。修正はv3.38.1。CWE-862(認可欠落)。
CVE-2026-48153:OAuth2 fetchToken SSRF(CVSS 8.5)
CVE-2026-48153は、OAuth2 SDKのfetchToken関数が、Budibaseのbuilderが指定したURLに対するPOSTリクエストに対し、コードベースの他箇所で使われているブラックリスト検証を適用していなかった問題です。さらにJoiスキーマ検証もURLのスキームやホストの制限を行っておらず、SSRF(Server-Side Request Forgery)攻撃が成立しました。アドバイザリはCWE-918。修正はv3.39.0。
SSRFは、攻撃者がBudibase経由で本来は外部からアクセスできない内部ネットワークのサービスにリクエストを送らせる攻撃です。AWSのIMDSメタデータ(インスタンスのIAM認証情報)、社内Redisやデータベース、Kubernetes API、社内マイクロサービスなどが攻撃面に変わります。CVSSは「8.5」と他より低めですが、SSRFは「ピンポイントで内部の機密に到達する経路」を提供するため、実害ベースでは決して軽視できません。
5件に通底する構造的問題:「マルチテナント+ロールベース」の見落とし
5件すべてが個別の単発バグではなく、Budibaseの根幹である「マルチテナント・マルチロール」の認可境界に関する問題に分類されることが、今回の事案の本質です。
- テナント境界の認可:CVE-2026-46425(SCIM)
- builderロール境界の認可:CVE-2026-48150(roles/assign)、CVE-2026-45716(users/onboard)、CVE-2026-45717(datasource)
- サーバ側のリクエスト境界:CVE-2026-48153(OAuth2 SSRF)
ローコードプラットフォームは、「同じツールを社員Aは管理者として、社員Bは利用者として、外部委託先Cは閲覧者として」というロール多重化を前提に設計されます。その認可境界のどこかひとつが甘くなると、信頼モデル全体が崩れます。5件の同時開示は、Budibaseチームが内部監査を進めて構造的な見直しを行った結果である可能性も高く、Enterprise契約で導入している組織は、Budibase公式のセキュリティハードニングガイドが今後どう更新されるかを継続的にウォッチする必要があります。
いますぐやるべきこと
1. Budibaseをv3.39.0以降にアップデート。 Docker Composeで運用している場合はbudibase/standardイメージのタグを最新に切り替えます。Kubernetesの場合はHelm chartのバージョン、DigitalOceanマネージドアプリの場合は管理画面からのワンクリックアップグレードが利用可能です。Budibase Cloudの利用者は基盤側ですでに更新済みのはずですが、念のためBudibase公式ステータスページで確認します。
2. 過去30日間の管理者・builder権限変更ログを点検。 v3.38.0以下を運用していた期間の/api/public/v1/roles/assign、/api/global/users/onboard、/scim/v2/へのアクセスログを確認します。身に覚えのない権限昇格や、説明できないアカウント作成があれば、攻撃成立の可能性を疑います。
3. テナント内の全管理者・builderアカウントを棚卸し。 グローバル管理者として登録されているアカウントが、実際に管理者である人だけに対応しているかを目視確認します。CVE-2026-45716とCVE-2026-48150の攻撃が成立した場合、自社で発行した記憶のない「グローバル管理者」アカウントが残っている可能性があります。
4. データソース設定を実機確認。 CVE-2026-45717の攻撃成立時は、Budibaseのデータソース設定が外部DBから内部IPへ書き換えられているケースがあります。設定情報の各エントリのホスト名・IPを実機チェックし、想定外の宛先が含まれていないか確認します。
5. OAuth2連携で使っているクライアントシークレットをローテーション。 CVE-2026-48153のSSRFで、OAuth2の認可トークンエンドポイントが攻撃者制御URLに改ざんされていた可能性があります。連携先サービス(Slack、Google Workspace、Microsoft Graph等)のOAuthクライアントシークレットは予防的に全件ローテーションするのが安全側の対応です。
6. SMTPメール設定を未完のまま運用しない。 CVE-2026-45716の攻撃トリガーは「SMTP未設定」でした。SMTP設定を完了させることで、新規アカウント作成時に必ずメール送信を経由する正しい招待フローに復帰します。これは修正版適用後も継続的に維持すべき運用ガードレールです。
CISA KEVへの登録状況とハブ記事連動
2026年5月28日時点で、Budibase 5件はいずれもCISAのKEVカタログに未登録です。OSSローコード基盤としてはCISA KEVの一次対象(米連邦機関の運用環境)からは距離がありますが、エンタープライズでの社内基幹システム代替として利用されるシーンが増えており、悪用観測が出始めればKEV登録の対象になる可能性は否定できません。
本サイトでは、攻撃中とCISAが認定したCVEの一覧と修正期限をCISA KEVダッシュボード(日本語版)で随時更新しています。同種のローコード/ノーコード基盤(Retool、Appsmith、n8n等)のCVE状況もOSSサプライチェーン・スキャナーでまとめて追跡できます。
ローコード基盤の「マルチテナント+ロール多重化」の構造は他製品でも共通であり、Budibaseで露呈した5件の認可境界問題は、他のOSSローコード基盤での同種監査を促す事件として位置付けられるでしょう。エンタープライズ運用組織は、自社利用しているローコード基盤すべてに対して、SCIMルーター、ロール割当API、データソース改ざん経路、OAuth2連携のSSRF防御の4点を中心に内部監査を進めるのが、本件から得る最も実務的な教訓です。
参照元
- ▸ NVD - CVE-2026-46425(SCIM)
- ▸ NVD - CVE-2026-48150(roles/assign)
- ▸ NVD - CVE-2026-45716(users/onboard)
- ▸ NVD - CVE-2026-45717(datasource)
- ▸ NVD - CVE-2026-48153(OAuth2 SSRF)
- ▸ GHSA-q9rw-q89f-jx2f(CVE-2026-46425)
- ▸ GHSA-6xp4-cf37-ppjh(CVE-2026-48150)
- ▸ GHSA-c54j-xp92-wh28(CVE-2026-45716)
- ▸ GHSA-44m2-crh7-f4q2(CVE-2026-45717)
- ▸ GHSA-4q6h-8p4v-67vq(CVE-2026-48153)
- ▸ Budibase v3.39.0 リリースノート
- ▸ Budibase 公式サイト