CRITICALCVE-2026-30862CVSS 9.1

Appsmith 中的关键型存储型 XSS 漏洞及权限提升

Q: 什么是 CVE-2026-30862 — XSS 漏洞在 Appsmith 中？

CVE-2026-30862 是 Appsmith Table Widget (TableWidgetV2) 中的一个关键型存储型 XSS 漏洞，允许攻击者通过诱骗系统管理员执行高权限 API 调用，实现完全的管理员账户接管。

Q: 我是否受到 CVE-2026-30862 在 Appsmith 中的影响？

如果您正在使用 Appsmith 版本小于等于 1.96，则可能受到此漏洞的影响。请立即升级到 1.96 或更高版本。

Q: 我如何修复 CVE-2026-30862 在 Appsmith 中？

最有效的修复方法是升级到 Appsmith 1.96 或更高版本。如果无法立即升级，请实施临时缓解措施，例如限制“邀请用户”功能的权限。

Q: CVE-2026-30862 是否正在被积极利用？

目前尚无公开的利用程序，但由于漏洞的严重性，建议密切关注相关安全动态，并尽快采取措施进行修复。

Q: 在哪里可以找到 Appsmith 官方关于 CVE-2026-30862 的公告？

请访问 Appsmith 官方安全公告页面，以获取有关此漏洞的更多信息和修复指南：[请在此处插入 Appsmith 官方安全公告链接，如果存在的话]

平台

javascript

组件

appsmith

修复版本

1.96.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-30862 是 Appsmith 中的一个关键型存储型跨站脚本 (XSS) 漏洞。该漏洞源于 Table Widget (TableWidgetV2) 组件在渲染管道中缺乏 HTML 消毒，允许恶意属性被插入到 DOM 中。攻击者可以利用“邀请用户”功能，诱导系统管理员执行高权限 API 调用，从而实现完全的管理员账户接管。该漏洞影响 Appsmith 版本小于等于 1.96，已在 1.96 版本中修复。

影响与攻击场景

该 XSS 漏洞的潜在影响非常严重。攻击者可以通过精心构造的恶意 payload，利用“邀请用户”功能，诱骗系统管理员点击恶意链接或执行恶意操作。一旦成功，攻击者可以获得 Appsmith 系统的完全控制权，包括访问和修改敏感数据、创建和删除用户、以及执行其他任何管理员可以执行的操作。这种账户接管可能导致数据泄露、服务中断，甚至整个系统的破坏。由于该漏洞允许攻击者以系统管理员身份执行操作，因此其影响范围非常广泛，可能影响到所有依赖 Appsmith 的内部工具和管理面板。

利用背景

该漏洞已于 2026 年 3 月 9 日公开披露。目前尚无公开的利用程序 (PoC)，但由于漏洞的严重性和潜在影响，建议尽快采取措施进行修复。该漏洞可能被恶意行为者利用，因此需要密切关注相关安全动态。CISA 尚未将其添加到 KEV 目录，但其 CVSS 评分为 CRITICAL，表明其风险较高。

哪些人处于风险中翻译中…

Organizations utilizing Appsmith for building internal tools and admin panels are at risk, particularly those with System Administrator accounts that are susceptible to social engineering attacks. Shared hosting environments where multiple users share an Appsmith instance are also at increased risk, as a compromised regular user account could potentially lead to administrative access.

检测步骤翻译中…

• javascript / web:

// Check for suspicious API calls to /api/v1/admin/env in Appsmith logs
// Look for requests originating from unusual user accounts

• generic web:

curl -I 'https://<appsmith_instance>/api/v1/admin/env' | grep -i '200 OK'

• generic web:

# Check Appsmith access logs for POST requests to /api/v1/admin/env
# with unusual user agents or referrer headers

攻击时间线

2026-03-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (14% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件appsmith

供应商appsmithorg

影响范围修复版本

< 1.96 – < 1.961.96.1

弱点分类 (CWE)

CWE-79

时间线

已保留2026-03-05
发布日期2026-03-09
修改日期2026-03-10
EPSS 更新日期2026-03-23

缓解措施和替代方案

为了缓解 CVE-2026-30862 的风险，建议立即升级到 Appsmith 1.96 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制“邀请用户”功能的权限，仅允许授权用户执行相关操作；实施严格的输入验证和输出编码，防止恶意代码注入；监控 Appsmith 系统的日志，及时发现和响应可疑活动。升级后，请确认 Table Widget (TableWidgetV2) 组件已正确更新，并测试相关功能以确保其正常运行。

修复方法

将 Appsmith 更新到 1.96 或更高版本。此版本修复了存储型 XSS 漏洞和权限提升，从而防止管理员帐户被接管。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-30862 — XSS 漏洞在 Appsmith 中？