Plataforma
java
Componente
appsmith
Corrigido em
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
1.23.1
1.24.1
1.25.1
1.26.1
1.27.1
1.28.1
1.29.1
1.30.1
1.31.1
1.32.1
1.33.1
1.34.1
1.35.1
1.36.1
1.37.1
1.38.1
1.39.1
1.40.1
1.41.1
1.42.1
1.43.1
1.44.1
1.45.1
1.46.1
1.47.1
1.48.1
1.49.1
1.50.1
1.51.1
1.52.1
1.53.1
1.54.1
1.55.1
1.56.1
1.57.1
1.58.1
1.59.1
1.60.1
1.61.1
1.62.1
1.63.1
1.64.1
1.65.1
1.66.1
1.67.1
1.68.1
1.69.1
1.70.1
1.71.1
1.72.1
1.73.1
1.74.1
1.75.1
1.76.1
1.77.1
1.78.1
1.79.1
1.80.1
1.81.1
1.82.1
1.83.1
1.84.1
1.85.1
1.86.1
1.87.1
1.88.1
1.89.1
1.90.1
1.91.1
1.92.1
1.93.1
1.94.1
1.95.1
1.96.1
1.99
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi identificada no Appsmith, afetando versões de 1.0 até 1.97. Essa falha permite que um atacante force o servidor a fazer requisições para recursos internos ou externos, potencialmente expondo informações sensíveis ou comprometendo a segurança do sistema. A atualização para a versão 1.99 resolve essa vulnerabilidade, e a aplicação do patch é altamente recomendada.
A exploração bem-sucedida da vulnerabilidade SSRF em Appsmith pode permitir que um atacante acesse recursos internos que normalmente não seriam acessíveis externamente. Isso pode incluir dados confidenciais armazenados em bancos de dados, arquivos de configuração ou outros serviços internos. Além disso, um atacante pode usar o servidor Appsmith como um proxy para realizar ataques contra outros sistemas na rede interna, ampliando o raio de impacto. A disponibilidade de um exploit público aumenta significativamente o risco de exploração, tornando a aplicação do patch uma prioridade.
A vulnerabilidade CVE-2026-5418 é considerada de alta prioridade devido à sua facilidade de exploração e à disponibilidade de um exploit público. A rápida resposta do fornecedor e o lançamento de uma versão corrigida demonstram a seriedade da questão. Embora não haja informações sobre exploração ativa em campanhas, a existência de um exploit público aumenta o risco de ataques oportunistas. A vulnerabilidade foi publicada em 2026-04-02.
Organizations deploying Appsmith in environments with internal services accessible via HTTP or HTTPS are at risk. This includes deployments where Appsmith is used to integrate with internal APIs or databases. Shared hosting environments where Appsmith instances share the same network infrastructure are particularly vulnerable, as a successful exploit could potentially compromise other systems on the same network.
• linux / server:
journalctl -u appsmith -g 'computeDisallowedHosts' | grep -i error• generic web:
curl -I <appsmith_url>/api/v1/dashboards/some_dashboard | grep -i 'Server:'• generic web:
curl -I <appsmith_url>/api/v1/dashboards/some_dashboard | grep -i 'X-Powered-By:'disclosure
patch
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-5418 é a atualização para a versão 1.99 do Appsmith. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a restrição de acesso à rede e a configuração de firewalls para bloquear requisições suspeitas. Monitore os logs do servidor em busca de atividades anormais, como requisições para endereços IP internos ou externos inesperados. Após a atualização, confirme a correção verificando se a função computeDisallowedHosts está funcionando conforme o esperado e se as requisições estão sendo devidamente validadas.
Atualizar Appsmith para a versão 1.99 ou superior. Esta versão corrige a vulnerabilidade de Server-Side Request Forgery (SSRF) no componente Dashboard.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5418 is a server-side request forgery (SSRF) vulnerability affecting Appsmith versions 1.0 through 1.97, allowing attackers to make requests from the server.
If you are using Appsmith versions 1.0 through 1.97, you are affected by this vulnerability and should upgrade immediately.
Upgrade Appsmith to version 1.99 or later to resolve the SSRF vulnerability. Consider temporary workarounds like restricting outbound network access if immediate upgrade is not possible.
A public proof-of-concept exploit is available, indicating a high probability of exploitation. Monitor for any signs of active campaigns.
Refer to the Appsmith security advisory for detailed information and updates regarding CVE-2026-5418: [https://appsmith.com/security](https://appsmith.com/security)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.