W platformie Appsmith w wersjach 1.94 i niższych nieuwierzytelnieni użytkownicy mogą wykonywać akcje w trybie edycji (nieopublikowane) w publicznie dostępnych aplikacjach. Podatność jest krytyczna, ponieważ nie wymaga żadnych poświadczeń i umożliwia dostęp do danych oraz logiki aplikacji poza zamierzoną granicą publikacji.
▸ Pokaż oryginał (EN)
Appsmith is a platform to build admin panels, internal tools, and dashboards. In versions 1.94 and below, publicly accessible apps allow unauthenticated users to execute unpublished (edit-mode) actions by sending viewMode=false (or omitting it) to POST /api/v1/actions/execute. This bypasses the expected publish boundary where public viewers should only execute published actions, not edit-mode versions. An attack can result in sensitive data exposure, execution of edit‑mode queries and APIs, development data access, and the ability to trigger side effect behavior. This issue does not have a released fix at the time of publication.
Aplikacja udostępnia endpoint POST /api/v1/actions/execute, który obsługuje parametr viewMode. Wysłanie wartości viewMode=false lub pominięcie tego parametru przez nieuwierzytelnionego użytkownika powoduje wykonanie akcji w trybie edycji zamiast wyłącznie opublikowanych akcji. Mechanizm kontroli dostępu nie weryfikuje poprawnie, czy żądający użytkownik posiada uprawnienia do uruchamiania nieopublikowanych zapytań i akcji API, co stanowi naruszenie oczekiwanej granicy między trybem edycji a trybem publicznego przeglądania (CWE-862 — brak autoryzacji).
Atakujący może uzyskać dostęp do wrażliwych danych, wykonywać nieopublikowane zapytania i wywołania API w trybie edycji, uzyskać dostęp do danych deweloperskich oraz wyzwalać niepożądane efekty uboczne zdefiniowane w akcjach aplikacji.
Według informacji dostępnych w momencie publikacji podatności nie istnieje jeszcze wydana poprawka. Należy śledzić referencje producenta (https://github.com/appsmithorg/appsmith/security/advisories/GHSA-j9qq-4fj9-9883) i zastosować patch niezwłocznie po jego udostępnieniu. Do czasu pojawienia się patcha zaleca się ograniczenie publicznego dostępu do aplikacji Appsmith oraz wdrożenie kontroli dostępu na poziomie sieci (firewall, VPN).
Appsmith w wersjach 1.94 i niższych, w przypadku aplikacji skonfigurowanych jako publicznie dostępne.
W momencie publikacji (2026-01-22) podatność nie posiadała wydanej poprawki. Informacja pochodzi bezpośrednio z opisu podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:LAppsmith
APPAppsmith≤ 1.94
Powiązane podatności
Appsmith: SSRF umożliwia przejęcie konfiguracji reverse proxy Caddy
Stored XSS w Appsmith Table Widget prowadzący do przejęcia konta admina
Appsmith: przejęcie konta przez manipulację nagłówkiem Origin w linkach e-mail
Appsmith: RCE przez błędnie skonfigurowany PostgreSQL w kontenerze Docker
Appsmith is a platform to build admin panels, internal tools, and dashboards. Prior to 2.1, Appsmith's bundled...