VU#265691:Appsmith 的 SQL 查询自动补... 笔记

VU#265691:Appsmith 的 SQL 查询自动补全渲染器存在跨站脚本漏洞

Appsmith 基于 CodeMirror 的 SQL 查询编辑器自动补全功能存在存储型跨站脚本(XSS)漏洞,编号为 CVE-2026-7299。拥有共享 PostgreSQL 数据源开发权限的攻击者,可向恶意数据库对象名称中注入 JavaScript。当任何工作区成员触发 SQL 自动补全时,该载荷即会执行。成功利用此漏洞可在受害者浏览器中执行任意 JavaScript 代码,可能导致会话劫持、权限提升或凭据窃取。Appsmith 是一个用于构建内部工具的开源低代码平台。该漏洞专门影响自动补全功能对数据库对象名称的处理。未能对这些名称进行清理,导致持久性 XSS 注入。Appsmith 2.1 版本已修复 CVE-2026-7299。强烈建议用户尽快更新其 Appsmith 安装版本。