VU#265691: Рендерер автодополн... Заметка

VU#265691: Рендерер автодополнения SQL-запросов Appsmith содержит уязвимость межсайтового скриптинга

Уязвимость хранимого межсайтового скриптинга (XSS), CVE-2026-7299, существует в автодополнении редактора SQL-запросов Appsmith на базе CodeMirror. Злоумышленники, имеющие доступ разработчика к общему источнику данных PostgreSQL, могут внедрять JavaScript в названия вредоносных объектов базы данных. Этот полезный код выполняется, когда любой член рабочей области запускает автодополнение SQL. Успешная эксплуатация позволяет произвольно выполнять JavaScript в браузере жертвы. Это может привести к угону сеанса, повышению привилегий или краже учетных данных. Appsmith — это платформа с открытым исходным кодом для создания внутренних инструментов с низким уровнем кода. Уязвимость конкретно затрагивает обработку названий объектов базы данных функцией автодополнения. Неспособность очистить эти имена позволяет осуществлять постоянное внедрение XSS. Версия 2.1 Appsmith устраняет и исправляет CVE-2026-7299. Пользователям настоятельно рекомендуется оперативно обновить свои установки Appsmith.