Platform
javascript
Component
appsmith
Opgelost in
1.96.1
CVE-2026-30862 beschrijft een kritieke Stored XSS-kwetsbaarheid in Appsmith, een platform voor het bouwen van admin panels en dashboards. Deze kwetsbaarheid, aanwezig in versies van Appsmith tot en met 1.96, maakt misbruik van een gebrek aan HTML-sanitatie in de rendering pipeline van de Table Widget (TableWidgetV2). Een succesvolle exploit kan resulteren in een Full Administrative Account Takeover. De kwetsbaarheid is verholpen in versie 1.96.
Een aanvaller kan deze kwetsbaarheid uitbuiten om schadelijke code in te voegen in de Appsmith applicatie. Door de 'Invite Users' functionaliteit te misbruiken, kan een aanvaller met een reguliere gebruikersaccount een systeembeheerder dwingen om een hoog-privilege API-oproep (/api/v1/admin/env) uit te voeren. Dit leidt direct tot een volledige overname van het beheerdersaccount, waardoor de aanvaller volledige controle krijgt over de Appsmith omgeving, inclusief toegang tot data, configuratie en gebruikersbeheer. De impact is aanzienlijk, aangezien de aanvaller de applicatie kan manipuleren, gevoelige data kan stelen en de integriteit van de hele omgeving kan compromitteren.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-09. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid en de mogelijkheid tot Full Administrative Account Takeover maken het een aantrekkelijk doelwit voor aanvallers. Het is aan te raden om de Appsmith omgeving te monitoren op verdachte activiteiten en de beveiligingsupdates nauwlettend te volgen.
Organizations utilizing Appsmith for building internal tools and admin panels are at risk, particularly those with System Administrator accounts that are susceptible to social engineering attacks. Shared hosting environments where multiple users share an Appsmith instance are also at increased risk, as a compromised regular user account could potentially lead to administrative access.
• javascript / web:
// Check for suspicious API calls to /api/v1/admin/env in Appsmith logs
// Look for requests originating from unusual user accounts• generic web:
curl -I 'https://<appsmith_instance>/api/v1/admin/env' | grep -i '200 OK'• generic web:
# Check Appsmith access logs for POST requests to /api/v1/admin/env
# with unusual user agents or referrer headersdisclosure
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Appsmith naar versie 1.96 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de 'Invite Users' functionaliteit. Implementeer strikte inputvalidatie en output encoding op alle plekken waar gebruikersinvoer wordt weergegeven in de Table Widget. Controleer de Appsmith logs op verdachte activiteiten, zoals ongebruikelijke API-oproepen of pogingen tot code-injectie. Na de upgrade, bevestig de correctie door te controleren of de 'Invite Users' functionaliteit geen XSS-payloads meer accepteert.
Werk Appsmith bij naar versie 1.96 of hoger. Deze versie corrigeert de opgeslagen (stored) XSS-kwetsbaarheid en de privilege-escalatie die accountovername van de beheerder mogelijk maakt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-30862 beschrijft een kritieke Stored XSS-kwetsbaarheid in Appsmith, waardoor een aanvaller mogelijk een beheerdersaccount kan overnemen.
Indien u Appsmith gebruikt in versie 1.96 of lager, bent u mogelijk getroffen. Upgrade zo snel mogelijk naar versie 1.96.
Upgrade Appsmith naar versie 1.96 of hoger. Implementeer tijdelijke mitigaties indien een upgrade direct niet mogelijk is.
Hoewel er momenteel geen publieke exploits beschikbaar zijn, is de ernst van de kwetsbaarheid een reden tot zorg en actie.
Raadpleeg de Appsmith beveiligingspagina voor de meest recente informatie: [https://www.appsmith.com/security](https://www.appsmith.com/security)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.