VU#265691: Appsmiths SQL 쿼리 자동... 노트

VU#265691: Appsmiths SQL 쿼리 자동 완성 렌더러에 크로스 사이트 스크립팅 취약점이 존재합니다.

Appsmith의 CodeMirror 기반 SQL 쿼리 편집기 자동 완성 기능에 저장된 크로스 사이트 스크립팅(XSS) 취약점, CVE-2026-7299가 존재합니다. 공유된 PostgreSQL 데이터소스에 대한 개발자 액세스 권한이 있는 공격자는 악의적인 데이터베이스 객체 이름에 JavaScript를 주입할 수 있습니다. 이 페이로드는 모든 워크스페이스 멤버가 SQL 자동 완성을 트리거할 때 실행됩니다. 성공적인 악용은 피해자의 브라우저에서 임의의 JavaScript 실행을 허용합니다. 이는 세션 하이재킹, 권한 상승 또는 자격 증명 도용으로 이어질 수 있습니다. Appsmith는 내부 도구를 구축하기 위한 오픈 소스 로우코드 플랫폼입니다. 이 취약점은 특히 데이터베이스 객체 이름의 자동 완성 기능 처리에 영향을 미칩니다. 이러한 이름을 sanitization하지 못하면 지속적인 XSS 주입이 가능합니다. Appsmith 버전 2.1은 CVE-2026-7299를 해결하고 수정합니다. 사용자는 Appsmith 설치를 즉시 업데이트하는 것이 좋습니다.