平台
java
组件
appsmith
修复版本
1.0.1
1.1.1
1.2.1
1.3.1
1.4.1
1.5.1
1.6.1
1.7.1
1.8.1
1.9.1
1.10.1
1.11.1
1.12.1
1.13.1
1.14.1
1.15.1
1.16.1
1.17.1
1.18.1
1.19.1
1.20.1
1.21.1
1.22.1
1.23.1
1.24.1
1.25.1
1.26.1
1.27.1
1.28.1
1.29.1
1.30.1
1.31.1
1.32.1
1.33.1
1.34.1
1.35.1
1.36.1
1.37.1
1.38.1
1.39.1
1.40.1
1.41.1
1.42.1
1.43.1
1.44.1
1.45.1
1.46.1
1.47.1
1.48.1
1.49.1
1.50.1
1.51.1
1.52.1
1.53.1
1.54.1
1.55.1
1.56.1
1.57.1
1.58.1
1.59.1
1.60.1
1.61.1
1.62.1
1.63.1
1.64.1
1.65.1
1.66.1
1.67.1
1.68.1
1.69.1
1.70.1
1.71.1
1.72.1
1.73.1
1.74.1
1.75.1
1.76.1
1.77.1
1.78.1
1.79.1
1.80.1
1.81.1
1.82.1
1.83.1
1.84.1
1.85.1
1.86.1
1.87.1
1.88.1
1.89.1
1.90.1
1.91.1
1.92.1
1.93.1
1.94.1
1.95.1
1.96.1
1.99
CVE-2026-5418 描述了 Appsmith 1.0 到 1.97 版本中发现的服务器端请求伪造 (SSRF) 漏洞。该漏洞位于 Dashboard 组件的 WebClientUtils.java 文件中,攻击者可以通过操纵 computeDisallowedHosts 函数发起攻击。此漏洞可能导致敏感信息泄露,建议立即升级到 1.99 版本以解决此问题。
该 SSRF 漏洞允许攻击者通过 Appsmith 服务器发起请求到攻击者控制的内部或外部资源。攻击者可以利用此漏洞访问内部服务,读取敏感文件,甚至可能执行代码(取决于服务器配置)。由于该漏洞的利用方式公开可用,且攻击者可以远程发起攻击,因此其潜在影响非常大。攻击者可能利用此漏洞获取数据库凭据、API 密钥或其他敏感信息,从而进一步破坏系统安全。
该漏洞的利用方式已公开,表明攻击者可以轻松地利用它。目前尚无关于该漏洞被大规模利用的公开报告,但由于其易用性,存在被利用的风险。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。请密切关注相关安全公告,并及时采取措施。
Organizations deploying Appsmith in environments with internal services accessible via HTTP or HTTPS are at risk. This includes deployments where Appsmith is used to integrate with internal APIs or databases. Shared hosting environments where Appsmith instances share the same network infrastructure are particularly vulnerable, as a successful exploit could potentially compromise other systems on the same network.
• linux / server:
journalctl -u appsmith -g 'computeDisallowedHosts' | grep -i error• generic web:
curl -I <appsmith_url>/api/v1/dashboards/some_dashboard | grep -i 'Server:'• generic web:
curl -I <appsmith_url>/api/v1/dashboards/some_dashboard | grep -i 'X-Powered-By:'disclosure
patch
漏洞利用状态
EPSS
0.05% (17% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的最佳方法是立即升级到 Appsmith 1.99 版本或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以配置 Appsmith 服务器的防火墙,限制其可以访问的外部资源。此外,还可以审查 Appsmith 的配置,确保没有暴露任何敏感信息。如果升级过程出现问题,请尝试回滚到之前的稳定版本,并联系 Appsmith 技术支持寻求帮助。升级后,请验证漏洞是否已成功修复,可以通过尝试发起一个 SSRF 请求来确认。
升级 Appsmith 到 1.99 或更高版本。此版本修复了 Dashboard 组件中的服务器端请求伪造 (SSRF) 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-5418 是 Appsmith 1.0 到 1.97 版本中发现的服务器端请求伪造 (SSRF) 漏洞,攻击者可以利用该漏洞发起请求到攻击者控制的资源。
如果您正在使用 Appsmith 1.0 到 1.97 版本,则可能受到此漏洞的影响。请立即升级到 1.99 版本或更高版本。
建议升级到 Appsmith 1.99 版本或更高版本。如果无法升级,请实施临时缓解措施,例如配置防火墙限制 Appsmith 服务器的访问权限。
虽然目前尚未有大规模利用的公开报告,但由于漏洞的易用性,存在被利用的风险。
请访问 Appsmith 官方安全公告页面或 GitHub 仓库,以获取有关此漏洞的更多信息和修复方案。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的 pom.xml 文件,立即知道是否受影响。