الثغرات ›

CVE-2026-22794

حرج ⚡ اختراق متاح

CVE-2026-22794: ثغرة حقن رأس المنشأ تؤدي إلى الاستيلاء على الحسابات في منصة Appsmith

CWE-346 — نوع الضعف

                    نُشر: Jan 12, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

9.6

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Appsmith is a platform to build admin panels, internal tools, and dashboards. Prior to 1.93, the server uses the Origin value from the request headers as the email link baseUrl without validation. If an attacker controls the Origin, password reset / email verification links in emails can be generated pointing to the attacker’s domain, causing authentication tokens to be exposed and potentially leading to account takeover. This vulnerability is fixed in 1.93.

🤖 ملخص AI

Appsmith versions prior to 1.93 fail to validate the Origin header, allowing attackers to manipulate password reset and email verification links to point to malicious domains. This enables credential theft and account takeover through email-based authentication bypass.

📄 الوصف (العربية)

يستخدم خادم Appsmith قيمة Origin من رؤوس الطلب مباشرة كـ baseUrl لروابط البريد الإلكتروني دون التحقق من صحتها. يمكن للمهاجم التحكم في رأس Origin لإعادة توجيه روابط إعادة تعيين كلمات المرور والتحقق من البريد الإلكتروني إلى نطاق خاص به. يؤدي هذا إلى تعريض رموز المصادقة وتمكين الاستيلاء على حسابات المستخدمين.

🤖 ملخص تنفيذي (AI)

تفشل إصدارات Appsmith السابقة للإصدار 1.93 في التحقق من صحة رأس Origin، مما يسمح للمهاجمين بتلاعب روابط إعادة تعيين كلمات المرور والتحقق من البريد الإلكتروني للإشارة إلى نطاقات خبيثة. يمكّن هذا من سرقة بيانات الاعتماد والاستيلاء على الحسابات من خلال تجاوز المصادقة القائمة على البريد الإلكتروني.

🤖 التحليل الذكي آخر تحليل: Apr 12, 2026 12:32

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1598.003 T1566.002 T1187 T1598

⚖️ درجة المخاطر السعودية (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Appsmith to version 1.93 or later immediately. Implement strict Origin header validation on the server side, whitelist only trusted domains for email link generation, and deploy email authentication security measures including DKIM/SPF/DMARC protocols.

🔧 خطوات المعالجة (العربية)

قم بترقية Appsmith إلى الإصدار 1.93 أو أحدث فوراً. قم بتنفيذ التحقق الصارم من رأس Origin على جانب الخادم، وأضف قائمة بيضاء فقط للنطاقات الموثوقة لإنشاء روابط البريد الإلكتروني، ونشر تدابير أمان المصادقة عبر البريد الإلكتروني بما في ذلك بروتوكولات DKIM/SPF/DMARC.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-3 AC-6 SI-10

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://github.com/appsmithorg/appsmith/commit/6f9ee6226bac13fb4b836940b557913fff78b633

security-advisories@github.com

Patch

🔗

https://github.com/appsmithorg/appsmith/security/advisories/GHSA-7hf5-mc28-xmcv

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/appsmithorg/appsmith/security/advisories/GHSA-7hf5-mc28-xmcv

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

appsmith:appsmith

📊 CVSS Score

9.6

/ 10.0 — حرج

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.6

CWECWE-346

EPSS0.02%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-12

المصدر nvd

المشاهدات 4

🇸🇦 درجة المخاطر السعودية

10.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

exploit-available patch-available CWE-346

🏢 توجيهات البائع

🔗 https://github.com/appsmithorg/appsmith/security/adv... 🔗 https://github.com/appsmithorg/appsmith/security/adv...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-22794

عرّفنا بنفسك

تسجيل الدخول مطلوب