Kritische Sicherheitslücke in Appsmith: CVE-2026-24042 erlaubt Umgehung der Veröffentlichungskontrolle
⚠️ CVE-Referenzen:
CVE-2026-24042
Zusammenfassung
In den Versionen 1.94 und älter von Appsmith, einer Plattform zum Erstellen von Admin-Panels und internen Tools, können unauthentifizierte Nutzer durch Manipulation des "viewMode"-Parameters unbegrenzt auf unveröffentlichte Funktionen zugreifen. Dies führt zu Datenlecks, Ausführung von Edit-Modus-Abfragen und der Auslösung von Nebeneffekten. Zum Zeitpunkt der Veröffentlichung existiert noch keine offizielle Lösung für dieses kritische Sicherheitsproblem.
Appsmith is a platform to build admin panels, internal tools, and dashboards. In versions 1.94 and below, publicly accessible apps allow unauthenticated users to execute unpublished (edit-mode) actions by sending viewMode=false (or omitting it) to POST /api/v1/actions/execute. This bypasses the expected publish boundary where public viewers should only execute published actions, not edit-mode versions. An attack can result in sensitive data exposure, execution of edit‑mode queries and APIs, development data access, and the ability to trigger side effect behavior. This issue does not have a released fix at the time of publication.
Quelle: app.opencve.io