Plataforma
javascript
Componente
appsmith
Corrigido em
1.96.1
Uma vulnerabilidade crítica de Cross-Site Scripting (XSS) foi descoberta no Appsmith, uma plataforma para construir painéis de administração e ferramentas internas. Essa falha, presente em versões anteriores à 1.96, reside no componente Table Widget (TableWidgetV2) e permite a injeção de código malicioso. A exploração bem-sucedida pode levar a um ataque de tomada de conta de conta de administrador, comprometendo a segurança da aplicação.
O impacto desta vulnerabilidade é severo. Um atacante, mesmo com uma conta de usuário regular, pode explorar a funcionalidade "Invite Users" para induzir um administrador a executar uma chamada de API de alto privilégio (/api/v1/admin/env). Isso permite ao atacante obter acesso total ao painel de administração, podendo visualizar, modificar ou excluir dados sensíveis, além de configurar novas contas com privilégios administrativos. O potencial de dano é significativo, podendo levar à perda de dados, interrupção do serviço e comprometimento da integridade da aplicação.
Esta vulnerabilidade foi divulgada em 2026-03-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de uma vulnerabilidade XSS crítica com potencial para tomada de conta de administrador deve ser tratada com alta prioridade.
Organizations utilizing Appsmith for building internal tools and admin panels are at risk, particularly those with System Administrator accounts that are susceptible to social engineering attacks. Shared hosting environments where multiple users share an Appsmith instance are also at increased risk, as a compromised regular user account could potentially lead to administrative access.
• javascript / web:
// Check for suspicious API calls to /api/v1/admin/env in Appsmith logs
// Look for requests originating from unusual user accounts• generic web:
curl -I 'https://<appsmith_instance>/api/v1/admin/env' | grep -i '200 OK'• generic web:
# Check Appsmith access logs for POST requests to /api/v1/admin/env
# with unusual user agents or referrer headersdisclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 1.96 ou superior do Appsmith. Como atualização imediata é a solução recomendada, não há rollbacks viáveis. Para ambientes onde a atualização imediata não é possível, considere implementar regras de firewall (WAF) ou proxy para bloquear requisições suspeitas direcionadas à API /api/v1/admin/env. Monitore logs de acesso e erros em busca de padrões de ataque, como tentativas de injeção de código JavaScript na funcionalidade de convite de usuários.
Atualize Appsmith para a versão 1.96 ou superior. Esta versão corrige a vulnerabilidade XSS armazenado e a escalada de privilégios que permite a tomada de controle da conta de administrador.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-30862 é uma vulnerabilidade crítica de Cross-Site Scripting (XSS) no Appsmith, permitindo a execução de código malicioso e potencialmente a tomada de conta de contas de administrador.
Se você estiver utilizando uma versão do Appsmith anterior à 1.96, você está vulnerável a esta falha. Verifique a versão instalada e atualize imediatamente.
A correção é a atualização para a versão 1.96 ou superior do Appsmith. Esta versão corrige a vulnerabilidade de XSS no Table Widget.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a gravidade da vulnerabilidade exige atenção imediata.
Consulte o site oficial do Appsmith ou o repositório de segurança para obter informações detalhadas e o advisory oficial sobre esta vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.