Plateforme
javascript
Composant
appsmith
Corrigé dans
1.96.1
Une vulnérabilité critique de type XSS (Cross-Site Scripting) a été découverte dans Appsmith, une plateforme de développement d'outils internes et de tableaux de bord. Cette faille, présente dans les versions antérieures à 1.96, affecte le widget Table (TableWidgetV2) et permet à un attaquant de prendre le contrôle d'un compte administrateur. La vulnérabilité a été corrigée dans la version 1.96.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant, même disposant d'un simple compte utilisateur, peut exploiter la fonctionnalité "Invite Users" pour forcer un administrateur à exécuter un appel API privilégié (/api/v1/admin/env). Cette exécution permet à l'attaquant de prendre le contrôle total du compte administrateur, compromettant ainsi l'ensemble de l'application Appsmith et les données qu'elle contient. La prise de contrôle d'un compte administrateur permet l'accès à toutes les données sensibles, la modification de la configuration de l'application et l'exécution de code arbitraire sur le serveur. Cette vulnérabilité présente un risque de compromission significative pour les organisations utilisant Appsmith.
Cette vulnérabilité a été rendue publique le 9 mars 2026. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. L'EPSS (Exploit Prediction Scoring System) score est probablement élevé en raison de la criticité de la vulnérabilité et de la facilité d'exploitation. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation. Consultez la publication NVD (National Vulnerability Database) pour plus d'informations.
Organizations utilizing Appsmith for building internal tools and admin panels are at risk, particularly those with System Administrator accounts that are susceptible to social engineering attacks. Shared hosting environments where multiple users share an Appsmith instance are also at increased risk, as a compromised regular user account could potentially lead to administrative access.
• javascript / web:
// Check for suspicious API calls to /api/v1/admin/env in Appsmith logs
// Look for requests originating from unusual user accounts• generic web:
curl -I 'https://<appsmith_instance>/api/v1/admin/env' | grep -i '200 OK'• generic web:
# Check Appsmith access logs for POST requests to /api/v1/admin/env
# with unusual user agents or referrer headersdisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Appsmith vers la version 1.96 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement la fonctionnalité "Invite Users" pour réduire la surface d'attaque. En attendant la mise à jour, une analyse des logs d'Appsmith peut aider à identifier des tentatives d'exploitation. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue du trafic vers l'API /api/v1/admin/env est conseillée. Après la mise à jour, vérifiez que le widget Table fonctionne correctement et qu'aucune exécution de script malveillant n'est possible.
Mettez à jour Appsmith à la version 1.96 ou supérieure. Cette version corrige la vulnérabilité XSS stockée et l'escalade de privilèges qui permet la prise de contrôle du compte d'administrateur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-30862 est une vulnérabilité de type XSS critique dans Appsmith, affectant le widget Table et permettant une prise de contrôle administrative.
Vous êtes affecté si vous utilisez Appsmith dans une version inférieure à 1.96 et que le widget Table est activé.
Mettez à jour Appsmith vers la version 1.96 ou supérieure. En attendant, désactivez la fonctionnalité "Invite Users".
Bien qu'il n'y ait pas de confirmation d'exploitation active à ce jour, la criticité de la vulnérabilité et la facilité d'exploitation suggèrent un risque élevé.
Consultez le site web d'Appsmith et leur page de sécurité pour l'avis officiel concernant CVE-2026-30862.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.