CRITICALCVE-2026-30862CVSS 9.1

Appsmithにおける重大な格納型XSSと権限昇格

Q: CVE-2026-30862 — XSS in Appsmithとは何ですか？

CVE-2026-30862は、AppsmithのTable Widget (TableWidgetV2)におけるCritical Stored XSS脆弱性です。攻撃者はこの脆弱性を利用して、管理者権限のAPI呼び出しを強制し、完全な管理者アカウントを奪取する可能性があります。

Q: CVE-2026-30862 in Appsmithで影響を受けますか？

Appsmithのバージョンが1.96以下の場合は、この脆弱性の影響を受けます。バージョン1.96へのアップデートを推奨します。

Q: CVE-2026-30862 in Appsmithを修正するにはどうすればよいですか？

Appsmithをバージョン1.96にアップデートしてください。アップデートが困難な場合は、Table Widgetの利用制限や入力バリデーションの強化などの緩和策を検討してください。

Q: CVE-2026-30862に関するAppsmithの公式アドバイザリはどこで入手できますか？

Appsmithの公式アドバイザリは、Appsmithのセキュリティアナウンスメントページで確認できます。詳細はAppsmithのドキュメントを参照してください。

プラットフォーム

javascript

コンポーネント

appsmith

修正版

1.96.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Appsmithは、管理パネル、社内ツール、ダッシュボードを構築するためのプラットフォームです。バージョン1.96以前のAppsmithには、Table Widget (TableWidgetV2)においてCritical Stored XSS脆弱性が存在します。この脆弱性は、ReactコンポーネントのレンダリングパイプラインにおけるHTMLサニタイズの欠如が原因です。バージョン1.96以降で修正されており、ユーザーはアップデートを推奨します。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者が正規ユーザーアカウント（例：[email protected]）を使用して、システム管理者に高権限のAPI呼び出し（/api/v1/admin/env）を実行させることを可能にします。これにより、攻撃者はAppsmithの完全な管理者アカウントを奪取し、機密情報の窃取、設定の改ざん、さらにはプラットフォーム全体の制御を奪う可能性があります。この脆弱性は、Appsmithを介して管理されている重要なデータやシステムへのアクセスを危険にさらす重大なリスクをもたらします。攻撃者は、招待ユーザー機能を利用することで、管理者を騙して悪意のあるコードを実行させることが可能です。

悪用の状況

この脆弱性は2026年3月9日に公開されました。現時点では、公開されているPoCは確認されていませんが、XSS脆弱性の性質上、悪用される可能性は高いと考えられます。Appsmithは社内ツールや管理画面の構築に利用されることが多いため、この脆弱性が悪用されると、組織全体に深刻な影響を及ぼす可能性があります。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

Organizations utilizing Appsmith for building internal tools and admin panels are at risk, particularly those with System Administrator accounts that are susceptible to social engineering attacks. Shared hosting environments where multiple users share an Appsmith instance are also at increased risk, as a compromised regular user account could potentially lead to administrative access.

検出手順翻訳中…

• javascript / web:

// Check for suspicious API calls to /api/v1/admin/env in Appsmith logs
// Look for requests originating from unusual user accounts

• generic web:

curl -I 'https://<appsmith_instance>/api/v1/admin/env' | grep -i '200 OK'

• generic web:

# Check Appsmith access logs for POST requests to /api/v1/admin/env
# with unusual user agents or referrer headers

攻撃タイムライン

2026-03-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.05% (14% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントappsmith

ベンダーappsmithorg

影響範囲修正版

< 1.96 – < 1.961.96.1

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-03-05
公開日2026-03-09
更新日2026-03-10
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応として、Appsmithをバージョン1.96にアップデートすることを強く推奨します。アップデートが困難な場合は、一時的な緩和策として、Table Widget (TableWidgetV2)の利用を制限し、ユーザー入力を厳密に検証する入力バリデーションを実装することを検討してください。また、Web Application Firewall (WAF)を導入し、悪意のあるペイロードを検知・ブロックするルールを設定することも有効です。Appsmithのログを監視し、不審なAPI呼び出しやJavaScriptの実行を検出するためのカスタムルールを作成することも重要です。

修正方法

Appsmithをバージョン1.96以降にアップデートしてください。このバージョンでは、格納型XSS脆弱性と権限昇格が修正され、管理者アカウントの乗っ取りを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-30862 — XSS in Appsmithとは何ですか？