トップ/記事一覧/ローコード開発基盤Appsmithに通信の出入り口を乗っ取られる脆弱性、CVE-2026-55454、v2.1へ更新を
appsmith-cve-cover-ja

ローコード開発基盤Appsmithに通信の出入り口を乗っ取られる脆弱性、CVE-2026-55454、v2.1へ更新を

社内向け業務アプリを短時間で作れる人気のローコード開発基盤『Appsmith』に、権限の低い利用者がサーバーの通信の出入り口(リバースプロキシ)を乗っ取れる脆弱性が見つかりました。CVE-2026-55454、深刻度はCVSS9.9。同梱プロキシの管理機能が認証なしで開いており、SSRFと組み合わせて設定を丸ごと書き換えられます。2.1より前が対象で、2.1へ更新を。

ニュース 本日更新
avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go

2026.06.257 min4 views
Share X B! Hatena LINE in LinkedIn RSS
この記事のポイント

社内向け業務アプリを短時間で作れる人気のローコード開発基盤『Appsmith』に、権限の低い利用者がサーバーの通信の出入り口(リバースプロキシ)を乗っ取れる脆弱性が見つかりました。CVE-2026-55454、深刻度はCVSS9.9。同梱プロキシの管理機能が認証なしで開いており、SSRFと組み合わせて設定を丸ごと書き換えられます。2.1より前が対象で、2.1へ更新を。

社内向けの業務アプリを短時間で作れる人気のローコード開発基盤「Appsmith(アップスミス)」に、権限の低い利用者がサーバーの通信の出入り口を乗っ取れる脆弱性(プログラムの欠陥)が見つかりました。CVE-2026-55454、深刻度は10点満点中9.9(緊急)です。

対象はバージョン2.1より前GitHubが報告し、2026年6月24日に公開されました。修正は2.1に含まれています。Appsmithに同梱された通信の振り分け役(リバースプロキシ)の管理用の窓口が認証なしで開いており、ログインした一般利用者がサーバー内部へ裏側で接続する手口(SSRF)と組み合わせて、その振り分け役を丸ごと乗っ取れるため、自分でAppsmithを運用しているなら更新が必要です。

Appsmithとはどんなサービスか

Appsmithは、データベースやAPIにつないで社内向けの管理画面や業務アプリを、部品をドラッグ&ドロップしながら短時間で作れるローコード開発基盤です。問い合わせ管理、在庫管理、顧客対応のような「自社専用の道具」を、ゼロから開発するより速く用意できます。オープンソース(Apache 2.0ライセンス)で自社サーバーに設置でき、GitHubのスター数は4万を超え、GSK・Twilio・Dropboxといった企業でも使われています。

Appsmithを自社で動かすと、利用者からの通信をまとめて受け取り、内部の各機能へ振り分ける「リバースプロキシ」という部品(Caddy)が同梱されて動きます。今回の欠陥は、この通信の出入り口にあたる重要な部品の管理機能が無防備だった点にあります。

誰が狙い、何をされ、どうなるのか

狙われるのはAppsmithを自社で運用し、外部の人や多数の社員にアカウントを配っている環境です。攻撃に必要なのは管理者権限ではなく、権限の低い一般利用者のログインで足ります。誰でも登録できる運用や、社外の協力者にアカウントを渡している場合ほどリスクが高くなります。

攻撃者がすることは、Appsmithを通じてサーバー内部の管理用アドレスへ裏側で接続し、認証のかかっていないリバースプロキシの管理機能を操作して、通信の振り分け設定を丸ごと書き換えることです。具体的には、コンテナ内部で「0.0.0.0:2019」という場所に認証なしで開いていた管理用の窓口へ到達し、設定を入れ替えてしまいます。

通信の振り分け役を乗っ取られると、利用者の通信を攻撃者のサーバーへ流したり、偽の応答を返したり、内部の機能へ自由にアクセスしたりと、Appsmith全体を支配する足がかりになります。社内の業務データや、つないでいるデータベース・APIの認証情報まで危険にさらされます。外部から取り込む部品やサービスの点検はOSS サプライチェーン スキャナーの考え方とあわせて見直す価値があります。実際に攻撃へ使われ始めた脆弱性はCISA KEV ダッシュボード(日本語版)で追えます。

脆弱性の中身

問題は、本来は外部から触れてはいけない管理用の窓口が、認証なしで開いていたことと、そこへAppsmith経由で到達できてしまったことの組み合わせです。

CVE-2026-55454:認証なしのプロキシ管理機能をSSRFで操作し乗っ取り(CVSS 9.9)

公開情報によると、Appsmithに同梱されたリバースプロキシ(Caddy)の管理用API(窓口)が、コンテナ内部の「0.0.0.0:2019」に認証なしで待ち受けていました。権限の低いログイン利用者は、Appsmithが外部URLへアクセスする機能を悪用してサーバー内部へ裏側で接続する手口(SSRF)と組み合わせ、この管理用APIに到達できます。そこから動作中のプロキシ設定を丸ごと差し替え、通信の振り分け役を乗っ取れます。修正版の2.1では、この管理機能への到達が塞がれています。

自分が対象かどうかの早見表

影響を受けるのは2.1より前で、2.1で修正済みです。自社サーバー(セルフホスト)で運用し、複数の利用者にアカウントを配っている環境ほど危険です。バージョンは管理画面で確認できます。

使い方バージョンやること
セルフホスト
(自社運用)		2.1より前最優先で
2.1へ更新
セルフホスト
(自社運用)		2.1以降対応不要
クラウド版
(提供側ホスティング)		提供側で更新
(念のため点検)

攻撃の前提は「権限の低い利用者のログイン」です。誰でも登録できる設定や、社外の人にアカウントを配っている運用ほど、攻撃の入口が広がる点に注意してください。

いま取るべき対策

最優先は、Appsmithを2.1以降へ更新することです。公式のリリースから最新版を入手してください。

すぐに更新できない場合の緩和策として、不要なアカウント登録を絞る、社外の協力者に渡している権限を見直す、コンテナ内部の管理用ポート(2019番)が外部やAppsmith経由で到達できないようネットワークを分離することが有効です。あわせて、通信の振り分け設定(プロキシ設定)に不審な変更がないか、身に覚えのないアクセスがないかを点検してください。乗っ取りが疑われる場合は、つないでいるデータベースやAPIの認証情報を入れ替えるのが安全です。

まとめ

AppsmithのCVE-2026-55454は、同梱のリバースプロキシ(Caddy)の管理用APIが認証なしで開いており、権限の低い利用者がSSRFと組み合わせて通信の振り分け役を乗っ取れる脆弱性です。深刻度はCVSS 9.9、対象は2.1より前で、2.1で修正済みです。

通信の出入り口を握られると、Appsmith全体と、つないでいる業務データやデータベースまで危険にさらされます。自社で運用しているなら、まずバージョンを確認し、古ければ今すぐ更新してください。Appsmithに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。

参照元