Plataforma
javascript
Componente
appsmith
Corregido en
1.96.1
Se ha identificado una vulnerabilidad de XSS (Cross-Site Scripting) crítica en Appsmith, una plataforma para crear paneles de administración, herramientas internas y dashboards. Esta vulnerabilidad, presente en versiones anteriores a 1.96, reside en el widget de Tabla (TableWidgetV2) debido a la falta de sanitización HTML. Un atacante puede explotar esta falla para tomar el control total de una cuenta de Administrador, comprometiendo la seguridad de la aplicación.
La vulnerabilidad de XSS en Appsmith permite a un atacante inyectar código malicioso en la página web, que se ejecuta en el navegador de otros usuarios. En este caso específico, la falta de sanitización en el widget de Tabla permite a un usuario regular, a través de la función 'Invitar Usuarios', forzar la ejecución de una llamada API de alta privilegios (/api/v1/admin/env) dirigida al Administrador del sistema. Esto resulta en una toma de control completa de la cuenta de Administrador, otorgando al atacante acceso irrestricto a la aplicación y a los datos sensibles que contiene. La gravedad de esta vulnerabilidad radica en la facilidad de explotación y el impacto potencial en la integridad y confidencialidad de la información.
Esta vulnerabilidad ha sido publicada el 9 de marzo de 2026. No se ha reportado explotación activa en entornos reales, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. La falta de sanitización HTML es un patrón común en vulnerabilidades de XSS, similar a lo observado en otras aplicaciones web. Se recomienda monitorear activamente los sistemas Appsmith para detectar cualquier actividad sospechosa.
Organizations utilizing Appsmith for building internal tools and admin panels are at risk, particularly those with System Administrator accounts that are susceptible to social engineering attacks. Shared hosting environments where multiple users share an Appsmith instance are also at increased risk, as a compromised regular user account could potentially lead to administrative access.
• javascript / web:
// Check for suspicious API calls to /api/v1/admin/env in Appsmith logs
// Look for requests originating from unusual user accounts• generic web:
curl -I 'https://<appsmith_instance>/api/v1/admin/env' | grep -i '200 OK'• generic web:
# Check Appsmith access logs for POST requests to /api/v1/admin/env
# with unusual user agents or referrer headersdisclosure
Estado del Exploit
EPSS
0.05% (14% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar esta vulnerabilidad es actualizar Appsmith a la versión 1.96 o superior, donde se ha corregido el problema de sanitización HTML. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la restricción de permisos de usuario y la monitorización de la actividad de la cuenta de Administrador. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad. Verifique que la actualización se haya realizado correctamente ejecutando una prueba de regresión en el widget de Tabla para confirmar que la sanitización HTML funciona como se espera.
Actualice Appsmith a la versión 1.96 o superior. Esta versión corrige la vulnerabilidad XSS almacenada y la escalada de privilegios que permite la toma de control de la cuenta de administrador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-30862 es una vulnerabilidad de XSS crítica en Appsmith, que permite a un atacante tomar el control de la cuenta de Administrador a través de la función 'Invitar Usuarios' debido a la falta de sanitización HTML.
Si está utilizando Appsmith en una versión anterior a 1.96, es vulnerable a esta vulnerabilidad. Actualice a la versión 1.96 o superior para mitigar el riesgo.
La solución es actualizar Appsmith a la versión 1.96 o superior. Si la actualización no es posible, implemente medidas de seguridad adicionales como la restricción de permisos y la monitorización de la actividad del Administrador.
No se ha reportado explotación activa en entornos reales, pero la naturaleza crítica de la vulnerabilidad la convierte en un objetivo potencial para los atacantes.
Consulte el sitio web oficial de Appsmith o su canal de comunicación de seguridad para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.