CVE-2026-7299

Nome do Software Vulnerável e Versões Afetadas Appsmith versões anteriores a 2.1

Description A funcionalidade de preenchimento automático do editor de consultas SQL falha ao sanitizar nomes de objetos do banco de dados antes de renderizá-los usando innerHTML. Isso permite que um Desenvolvedor autenticado com acesso a uma fonte de dados PostgreSQL compartilhada injete Cross-Site Scripting (XSS) persistente ao criar nomes de tabelas ou colunas maliciosos. Quando outros membros do espaço de trabalho interagem com a mesma fonte de dados e acionam o recurso de preenchimento automático, os nomes não sanitizados executam JavaScript arbitrário em suas sessões, podendo levar ao sequestro de sessão, escalonamento de privilégios ou roubo de credenciais.

Recommendations Atualizar para a versão 2.1.