CVE-2026-55454: Критична вразливість у Appsmith дозволяє захоплення проксі

Вразливість CVE-2026-55454 у Appsmith дозволяє захоплення проксі через SSRF. Оновіть до версії 2.1 для захисту систем.
CVE-2026-55454CVSS 9.9Containers

CVE-2026-55454: Критична вразливість у Appsmith дозволяє захоплення проксі

Вразливість CVE-2026-55454 у Appsmith дозволяє захоплення проксі через SSRF. Оновіть до версії 2.1 для захисту систем.

CVSS
9.9 CRITICAL
EPSS
24.65%
Активно використовується
немає в KEV
Продукт
appsmith

Що відомо

У Appsmith до версії 2.1 виявлено критичну вразливість у вбудованому Caddy reverse-proxy, який за замовчуванням не має автентифікації і доступний всередині контейнера. Аутентифікований користувач з низькими правами може використати SSRF для повної заміни конфігурації проксі та захоплення контролю.

Бізнес-вплив

Ця вразливість дозволяє зловмиснику з обмеженим доступом повністю контролювати зворотний проксі, що може призвести до перехоплення трафіку, обходу безпеки та потенційного доступу до внутрішніх систем. Для організацій, що використовують Appsmith у контейнерах, це створює серйозний ризик компрометації інфраструктури та даних.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Appsmith до версії 2.1 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до контейнерів, ретельно перевірити журнали на ознаки експлуатації, а також розглянути можливість ізоляції сервісів і застосування додаткових мережевих політик для зменшення ризику.

Джерела