プラットフォーム
java
コンポーネント
appsmith
修正版
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
1.23.1
1.24.1
1.25.1
1.26.1
1.27.1
1.28.1
1.29.1
1.30.1
1.31.1
1.32.1
1.33.1
1.34.1
1.35.1
1.36.1
1.37.1
1.38.1
1.39.1
1.40.1
1.41.1
1.42.1
1.43.1
1.44.1
1.45.1
1.46.1
1.47.1
1.48.1
1.49.1
1.50.1
1.51.1
1.52.1
1.53.1
1.54.1
1.55.1
1.56.1
1.57.1
1.58.1
1.59.1
1.60.1
1.61.1
1.62.1
1.63.1
1.64.1
1.65.1
1.66.1
1.67.1
1.68.1
1.69.1
1.70.1
1.71.1
1.72.1
1.73.1
1.74.1
1.75.1
1.76.1
1.77.1
1.78.1
1.79.1
1.80.1
1.81.1
1.82.1
1.83.1
1.84.1
1.85.1
1.86.1
1.87.1
1.88.1
1.89.1
1.90.1
1.91.1
1.92.1
1.93.1
1.94.1
1.95.1
1.96.1
1.99
CVE-2026-5418は、Appsmithのバージョン1.0から1.97までのインスタンスに存在するサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。この脆弱性は、WebClientUtils.javaのcomputeDisallowedHosts関数における不適切な処理が原因で発生します。攻撃者はこの脆弱性を悪用することで、Appsmithサーバーを介して任意の内部リソースにアクセスできる可能性があります。バージョン1.99へのアップグレードにより、この脆弱性は修正されています。
このSSRF脆弱性を悪用されると、攻撃者はAppsmithサーバーをプロキシとして利用し、本来アクセスできないはずの内部ネットワークリソースにアクセスできてしまいます。例えば、内部データベースや管理インターフェースへのアクセス、機密情報の窃取などが考えられます。さらに、この脆弱性はリモートから攻撃可能であり、攻撃者がAppsmithサーバーを完全に制御する可能性も否定できません。公開されているPoCが存在することから、悪用されるリスクは高いと言えます。攻撃者は、内部ネットワーク内の他のシステムへの横展開を試みる可能性もあります。
CVE-2026-5418は、パブリックPoCが存在するため、悪用されるリスクが高いと考えられます。CISAのKEVリストへの登録状況は不明ですが、公開されているPoCの存在から、攻撃者による悪用が懸念されます。この脆弱性は、Appsmithの内部ネットワークへのアクセスを可能にするため、影響範囲は広くなる可能性があります。NVDおよびCISAの公開日は2026年4月2日です。
Organizations deploying Appsmith in environments with internal services accessible via HTTP or HTTPS are at risk. This includes deployments where Appsmith is used to integrate with internal APIs or databases. Shared hosting environments where Appsmith instances share the same network infrastructure are particularly vulnerable, as a successful exploit could potentially compromise other systems on the same network.
• linux / server:
journalctl -u appsmith -g 'computeDisallowedHosts' | grep -i error• generic web:
curl -I <appsmith_url>/api/v1/dashboards/some_dashboard | grep -i 'Server:'• generic web:
curl -I <appsmith_url>/api/v1/dashboards/some_dashboard | grep -i 'X-Powered-By:'disclosure
patch
エクスプロイト状況
EPSS
0.05% (17% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Appsmithをバージョン1.99にアップグレードすることです。アップグレードが困難な場合は、一時的な回避策として、Appsmithサーバーのファイアウォール設定を強化し、外部からの不要なアクセスを遮断してください。また、WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御することも有効です。Appsmithのログを監視し、不審なリクエストを早期に発見することも重要です。アップグレード後、computeDisallowedHosts関数の動作を確認し、意図しない内部リソースへのアクセスがないことを確認してください。
Appsmithをバージョン1.99以降にアップデートしてください。このバージョンは、Dashboardコンポーネントにおけるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性を修正しています。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-5418は、Appsmithのバージョン1.0から1.97までのインスタンスに存在するサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。攻撃者はこの脆弱性を悪用して、Appsmithサーバーを介して内部リソースにアクセスできる可能性があります。
Appsmithのバージョン1.0から1.97を使用している場合は、この脆弱性の影響を受けています。バージョン1.99へのアップグレードが必要です。
Appsmithをバージョン1.99にアップグレードしてください。アップグレードが難しい場合は、ファイアウォール設定の強化やWAFの導入などの回避策を検討してください。
パブリックPoCが存在するため、悪用されるリスクは高いと考えられます。
Appsmithの公式アドバイザリは、Appsmithのセキュリティページで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。