CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-7299

MediumCVSS 6.3
Published: Updated: Translated: NVD NIST

Summary

Funkcjonalność autouzupełniania edytora zapytań SQL w Appsmith nie sanitizuje nazw obiektów bazy danych przed ich renderowaniem w innerHTML. Umożliwia to uwierzytelnionemu deweloperowi wstrzyknięcie trwałego XSS za pomocą złośliwych nazw tabel lub kolumn, co prowadzi do wykonania dowolnego kodu w sesjach innych członków workspace'u, gdy wchodzą w interakcję z tym samym źródłem danych.

Risk Assessment

Organizacja jest narażona na ataki XSS, które mogą prowadzić do przejęcia sesji użytkowników i wykonania nieautoryzowanego kodu. To może skutkować utratą danych oraz naruszeniem prywatności użytkowników.

Recommendation

Zaleca się wprowadzenie sanitizacji nazw obiektów bazy danych w edytorze zapytań SQL oraz przegląd i aktualizację polityki bezpieczeństwa aplikacji, aby zminimalizować ryzyko wstrzyknięcia XSS.

Original NVD description (English source)

Appsmith’s SQL query editor’s autocomplete functionality fails to sanitize database object names before rendering them in innerHTML, allowing an authenticated Developer to inject persistent XSS by a malicious table or column names triggering arbitrary code execution in the sessions of other workspace members when they interact with the same datasource.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS