Appsmith versions prior to 1.98 expose sensitive instance management API endpoints without authentication. Unauthenticated attackers can query endpoints like /api/v1/consolidated-api/view and /api/v1/tenants/current to retrieve configuration metadata, license information, and unsalted SHA-256 hashes of admin email domains for reconnaissance and targeted attack planning.
Appsmith versions before 1.98 expose unauthenticated API endpoints that leak sensitive configuration metadata, license information, and admin email domain hashes. Attackers can perform reconnaissance and plan targeted attacks without authentication.
يؤثر هذا الضعف على Appsmith قبل الإصدار 1.98 حيث تكون نقاط نهاية إدارة المثيل متاحة بدون متطلبات مصادقة. يمكن للمهاجمين الوصول إلى معلومات التكوين والترخيص وتجزئات البريد الإلكتروني للمسؤولين لأغراض الاستطلاع.
إصدارات Appsmith السابقة للإصدار 1.98 تكشف نقاط نهاية API غير مصرح بها تسرب البيانات الوصفية الحساسة ومعلومات الترخيص وتجزئات نطاقات البريد الإلكتروني للمسؤولين. يمكن للمهاجمين إجراء استطلاع وتخطيط هجمات موجهة بدون مصادقة.
Upgrade Appsmith to version 1.98 or later immediately. Implement network-level access controls to restrict API endpoint access. Enable authentication on all API endpoints. Monitor API logs for unauthorized access attempts. Implement rate limiting on sensitive endpoints.
قم بترقية Appsmith إلى الإصدار 1.98 أو أحدث فوراً. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقاط النهاية. فعّل المصادقة على جميع نقاط نهاية API. راقب سجلات API للوصول غير المصرح به. طبق تحديد معدل على نقاط النهاية الحساسة.