Appsmith는 관리 패널, 내부 도구 및 대시보드를 구축하는 플랫폼입니다. 2.1 이전에는 Appsmith의 번들 감독자가 공용 수신 시 /supervisor/*에 있는 Caddy 역방향 프록시 경로를 통해 컨테이너 외부에서 연결할 수 있는 포트 9001에 XML-RPC 인터페이스를 노출했습니다. GET /api/v1/admin/env를 통해 노출된 APPSMITH_SUPERVISOR_PASSWORD와 결합하면 인증된 모든 관리자는 임의의 XML-RPC 호출을 감독자에게 보내고 twiddle을 통해 Docker 컨테이너 내에서 OS 명령을 실행할 수 있습니다.
Appsmith는 관리 패널, 내부 도구 및 대시보드를 구축하는 플랫폼입니다. 2.1 이전에는 Appsmith의 번들 감독자가 공용 수신 시 /supervisor/*에 있는 Caddy 역방향 프록시 경로를 통해 컨테이너 외부에서 연결할 수 있는 포트 9001에 XML-RPC 인터페이스를 노출했습니다. GET /api/v1/admin/env를 통해 노출된 APPSMITH_SUPERVISOR_PASSWORD와 결합하면 인증된 모든 관리자는 임의의 XML-RPC 호출을 감독자에게 보내고 twidddler.addProgramToGroup을 통해 Docker 컨테이너 내에서 OS 명령을 실행할 수 있습니다. 이 취약점은 2.1에서 수정되었습니다.
| 소스 | CVSS 버전 | 기본 점수 | 심각도 | 벡터 문자열 | 평가일 |
|---|---|---|---|---|---|
| NVDNIST | 3.1 | 7.2 | HIGH | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | 2026. 06. 27. |
| NVDNIST | 4.0 | 8.9 |
| CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 2026. 06. 25. |