Vulnerabilidad en Appsmith (CVE-2024-55604)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/03/2025

Última modificación:

27/03/2025

Descripción

Appsmith es una plataforma para crear paneles de administración, herramientas internas y tableros de control. Los usuarios invitados como "Visores de la aplicación" no deberían tener acceso a la información de desarrollo de un espacio de trabajo. Las fuentes de datos son un componente de este tipo en un espacio de trabajo. Sin embargo, en versiones de Appsmith anteriores a la 1.51, los visores de la aplicación pueden obtener una lista de las fuentes de datos en el espacio de trabajo del que son miembros. Esta divulgación de información NO expone datos confidenciales de las fuentes de datos, como contraseñas de bases de datos y claves API. El atacante debe haber sido invitado a un espacio de trabajo como "visor" por alguien en ese espacio con acceso para invitar. Posteriormente, el atacante debe poder registrarse/iniciar sesión en esa instancia de Appsmith. El problema se solucionó en la versión 1.51. No se conocen workarounds.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 4.80 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Activo
Confidentiality (VC): Bajo
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

4.80

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/appsmithorg/appsmith/security/advisories/GHSA-794x-gm8v-2wj6