CRITICAL🇬🇧 English

CVE-2026-24042

Appsmith: nieuwierzytelniony dostęp do akcji trybu edycji (brak autoryzacji)

CVSS 9.4v3.1pub. 2026-01-22upd. 2026-02-17

W platformie Appsmith w wersjach 1.94 i niższych nieuwierzytelnieni użytkownicy mogą wykonywać akcje w trybie edycji (nieopublikowane) w publicznie dostępnych aplikacjach. Podatność jest krytyczna, ponieważ nie wymaga żadnych poświadczeń i umożliwia dostęp do danych oraz logiki aplikacji poza zamierzoną granicą publikacji.

Pokaż oryginał (EN)

Appsmith is a platform to build admin panels, internal tools, and dashboards. In versions 1.94 and below, publicly accessible apps allow unauthenticated users to execute unpublished (edit-mode) actions by sending viewMode=false (or omitting it) to POST /api/v1/actions/execute. This bypasses the expected publish boundary where public viewers should only execute published actions, not edit-mode versions. An attack can result in sensitive data exposure, execution of edit‑mode queries and APIs, development data access, and the ability to trigger side effect behavior. This issue does not have a released fix at the time of publication.

🤖 Analiza AI
Jak działa

Aplikacja udostępnia endpoint POST /api/v1/actions/execute, który obsługuje parametr viewMode. Wysłanie wartości viewMode=false lub pominięcie tego parametru przez nieuwierzytelnionego użytkownika powoduje wykonanie akcji w trybie edycji zamiast wyłącznie opublikowanych akcji. Mechanizm kontroli dostępu nie weryfikuje poprawnie, czy żądający użytkownik posiada uprawnienia do uruchamiania nieopublikowanych zapytań i akcji API, co stanowi naruszenie oczekiwanej granicy między trybem edycji a trybem publicznego przeglądania (CWE-862 — brak autoryzacji).

Skutki

Atakujący może uzyskać dostęp do wrażliwych danych, wykonywać nieopublikowane zapytania i wywołania API w trybie edycji, uzyskać dostęp do danych deweloperskich oraz wyzwalać niepożądane efekty uboczne zdefiniowane w akcjach aplikacji.

Mitygacja

Według informacji dostępnych w momencie publikacji podatności nie istnieje jeszcze wydana poprawka. Należy śledzić referencje producenta (https://github.com/appsmithorg/appsmith/security/advisories/GHSA-j9qq-4fj9-9883) i zastosować patch niezwłocznie po jego udostępnieniu. Do czasu pojawienia się patcha zaleca się ograniczenie publicznego dostępu do aplikacji Appsmith oraz wdrożenie kontroli dostępu na poziomie sieci (firewall, VPN).

Kogo dotyczy

Appsmith w wersjach 1.94 i niższych, w przypadku aplikacji skonfigurowanych jako publicznie dostępne.

Uwagi

W momencie publikacji (2026-01-22) podatność nie posiadała wydanej poprawki. Informacja pochodzi bezpośrednio z opisu podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
  • Appsmith

    APP
    Appsmith
    ≤ 1.94
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-55454CRITICAL9.9PL ✓ten sam produkt

Appsmith: SSRF umożliwia przejęcie konfiguracji reverse proxy Caddy

CVE-2026-30862CRITICAL9.0PL ✓ten sam produkt

Stored XSS w Appsmith Table Widget prowadzący do przejęcia konta admina

CVE-2026-22794CRITICAL9.6PL ✓ten sam produkt

Appsmith: przejęcie konta przez manipulację nagłówkiem Origin w linkach e-mail

CVE-2024-55964CRITICAL9.8PL ✓ten sam produkt

Appsmith: RCE przez błędnie skonfigurowany PostgreSQL w kontenerze Docker

CVE-2026-50189HIGH8.9ten sam produkt

Appsmith is a platform to build admin panels, internal tools, and dashboards. Prior to 2.1, Appsmith's bundled...