Vulnerabilidad en appsmithorg (CVE-2026-24042)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

22/01/2026

Última modificación:

17/02/2026

Descripción

Appsmith es una plataforma para construir paneles de administración, herramientas internas y paneles de control. En las versiones 1.94 e inferiores, las aplicaciones de acceso público permiten a usuarios no autenticados ejecutar acciones no publicadas (en modo edición) enviando viewMode=false (o omitiéndolo) a POST /API/v1/actions/execute. Esto elude el límite de publicación esperado donde los espectadores públicos solo deberían ejecutar acciones publicadas, no versiones en modo edición. Un ataque puede resultar en exposición de datos sensibles, ejecución de consultas y API en modo edición, acceso a datos de desarrollo y la capacidad de desencadenar comportamientos con efectos secundarios. Este problema no tiene una solución publicada en el momento de la publicación.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.40 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

9.40

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:appsmith:appsmith::::::::		1.94 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/appsmithorg/appsmith/security/advisories/GHSA-j9qq-4fj9-9883