Appsmith’s SQL query editor’s autocomplete functionality fails to sanitize database object names before rendering them in innerHTML, allowing an authenticated Developer to inject persistent XSS by a malicious table or column names triggering arbitrary code execution in the sessions of other workspace members when they interact with the same datasource.
Appsmith's SQL query editor autocomplete feature fails to sanitize database object names, allowing authenticated developers to inject persistent XSS through malicious table or column names. This vulnerability enables arbitrary code execution in other workspace members' sessions when they interact with the same datasource.
تفشل وظيفة الإكمال التلقائي في محرر استعلامات SQL بـ Appsmith في تعقيم أسماء كائنات قاعدة البيانات قبل عرضها في innerHTML. يمكن لمطور مصرح له بإدخال XSS مستمر من خلال أسماء جداول أو أعمدة ضارة. يؤدي هذا إلى تنفيذ كود تعسفي في جلسات أعضاء مساحة العمل الآخرين عند تفاعلهم مع نفس مصدر البيانات.
Appsmith's SQL query editor autocomplete feature fails to sanitize database object names, allowing authenticated developers to inject persistent XSS through malicious table or column names. This vulnerability enables arbitrary code execution in other workspace members' sessions when they interact with the same datasource.
Update Appsmith to the latest patched version immediately. Implement input validation and output encoding for all database object names in the autocomplete functionality. Restrict developer access to only necessary datasources. Monitor workspace activity for suspicious database object naming patterns. Apply Content Security Policy (CSP) headers to prevent inline script execution.
قم بتحديث Appsmith إلى أحدث إصدار مصحح فوراً. طبق التحقق من المدخلات والترميز للمخرجات لجميع أسماء كائنات قاعدة البيانات في وظيفة الإكمال التلقائي. قيد وصول المطورين إلى مصادر البيانات الضرورية فقط. راقب نشاط مساحة العمل للبحث عن أنماط تسمية كائنات قاعدة بيانات مريبة. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة.