Katalog CVE

CVE-2026-34411

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 31 - wyżej niż 31% wszystkich znanych CVE

Streszczenie

Podatność w Appsmith w wersjach przed 1.98 ujawnia wrażliwe punkty końcowe API zarządzania instancją bez wymaganego uwierzytelnienia. Niezalogowani atakujący mogą odczytać metadane konfiguracji, informacje licencyjne oraz niesolone hasze SHA-256 domen e-mail administratora.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia rekonesansu i planowania ataków celowanych przez nieautoryzowanych użytkowników, co może prowadzić do wycieku poufnych danych i naruszenia bezpieczeństwa instancji.

Rekomendacja

Należy niezwłocznie zaktualizować Appsmith do wersji 1.98 lub nowszej, która usuwa tę podatność. Dodatkowo zaleca się ograniczenie dostępu do API zarządzania za pomocą zapory sieciowej lub list kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

Appsmith versions prior to 1.98 expose sensitive instance management API endpoints without authentication. Unauthenticated attackers can query endpoints like /api/v1/consolidated-api/view and /api/v1/tenants/current to retrieve configuration metadata, license information, and unsalted SHA-256 hashes of admin email domains for reconnaissance and targeted attack planning.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS