CVE-2026-45806 in Penpotالمعلومات

الملخص

بحسب VulDB • 15/07/2026

Penpot هو أداة تصميم مفتوحة المصدر للتعاون في التصميم والبرمجة. قبل الإصدار 2.15.0، كانت عملية استيراد الصور عن بُعد في Penpot تمرر عنوان URL الذي يتحكم فيه المستخدم من frontend/src/app/main/data/workspace/media.cljs إلى طريقة RPC الخلفية :create-file-media-object-from-url الموجودة في backend/src/app/rpc/commands/media.clj، حيث استخدمت الدالة media/download-image داخل backend/src/app/media.clz العميل المشترك لبروتوكول HTTP دون تصفية الوجهة، مما مكن محرر الملفات المصادق عليه من الوصول إلى نقاط النهاية الداخلية فقط. تم إصلاح هذه المشكلة في الإصدار 2.15.0.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

13/05/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379294

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!