Plateforme
java
Composant
appsmith
Corrigé dans
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
1.23.1
1.24.1
1.25.1
1.26.1
1.27.1
1.28.1
1.29.1
1.30.1
1.31.1
1.32.1
1.33.1
1.34.1
1.35.1
1.36.1
1.37.1
1.38.1
1.39.1
1.40.1
1.41.1
1.42.1
1.43.1
1.44.1
1.45.1
1.46.1
1.47.1
1.48.1
1.49.1
1.50.1
1.51.1
1.52.1
1.53.1
1.54.1
1.55.1
1.56.1
1.57.1
1.58.1
1.59.1
1.60.1
1.61.1
1.62.1
1.63.1
1.64.1
1.65.1
1.66.1
1.67.1
1.68.1
1.69.1
1.70.1
1.71.1
1.72.1
1.73.1
1.74.1
1.75.1
1.76.1
1.77.1
1.78.1
1.79.1
1.80.1
1.81.1
1.82.1
1.83.1
1.84.1
1.85.1
1.86.1
1.87.1
1.88.1
1.89.1
1.90.1
1.91.1
1.92.1
1.93.1
1.94.1
1.95.1
1.96.1
1.99
Une vulnérabilité de falsification de requête côté serveur (SSRF) a été identifiée dans Appsmith, affectant les versions de 1.0 à 1.97. Cette faille permet à un attaquant de manipuler des requêtes vers des serveurs internes, potentiellement exposant des données sensibles ou permettant un accès non autorisé. La mise à jour vers la version 1.99 corrige cette vulnérabilité et est fortement recommandée.
L'exploitation réussie de cette vulnérabilité SSRF peut permettre à un attaquant d'accéder à des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur du réseau. Cela peut inclure des informations sensibles stockées dans des bases de données, des fichiers de configuration ou d'autres services internes. Un attaquant pourrait également utiliser cette vulnérabilité pour effectuer des actions en tant que serveur, comme modifier des données ou lancer des commandes. La disponibilité d'un proof-of-concept public augmente considérablement le risque d'exploitation.
Un proof-of-concept public est disponible, ce qui indique une probabilité d'exploitation élevée (EPSS score probablement élevé). La vulnérabilité a été publiée le 2026-04-02. Bien qu'il n'y ait pas de confirmation d'exploitation active, la disponibilité du PoC rend cette vulnérabilité particulièrement préoccupante.
Organizations deploying Appsmith in environments with internal services accessible via HTTP or HTTPS are at risk. This includes deployments where Appsmith is used to integrate with internal APIs or databases. Shared hosting environments where Appsmith instances share the same network infrastructure are particularly vulnerable, as a successful exploit could potentially compromise other systems on the same network.
• linux / server:
journalctl -u appsmith -g 'computeDisallowedHosts' | grep -i error• generic web:
curl -I <appsmith_url>/api/v1/dashboards/some_dashboard | grep -i 'Server:'• generic web:
curl -I <appsmith_url>/api/v1/dashboards/some_dashboard | grep -i 'X-Powered-By:'disclosure
patch
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Appsmith vers la version 1.99, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en place des règles de pare-feu ou de proxy pour restreindre les requêtes sortantes autorisées. Il est également possible de configurer Appsmith pour qu'il n'écoute que sur des interfaces spécifiques, limitant ainsi la surface d'attaque. Vérifiez après la mise à jour que la fonction computeDisallowedHosts fonctionne comme prévu et bloque les hôtes non autorisés.
Mettre à jour Appsmith à la version 1.99 ou supérieure. Cette version corrige la vulnérabilité de Server-Side Request Forgery (SSRF) dans le composant Dashboard.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5418 is a server-side request forgery (SSRF) vulnerability affecting Appsmith versions 1.0 through 1.97, allowing attackers to make requests from the server.
If you are using Appsmith versions 1.0 through 1.97, you are affected by this vulnerability and should upgrade immediately.
Upgrade Appsmith to version 1.99 or later to resolve the SSRF vulnerability. Consider temporary workarounds like restricting outbound network access if immediate upgrade is not possible.
A public proof-of-concept exploit is available, indicating a high probability of exploitation. Monitor for any signs of active campaigns.
Refer to the Appsmith security advisory for detailed information and updates regarding CVE-2026-5418: [https://appsmith.com/security](https://appsmith.com/security)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.