CVE-2026-26202 in Penpotinfo

Zusammenfassung

von VulDB • 26.05.2026

Penpot ist ein Open-Source-Design-Tool für die Zusammenarbeit beim Design und Code. Vor Version 2.13.2 kann ein authentifizierter Benutzer beliebige Dateien vom Server lesen, indem er einen lokalen Dateipfad (z. B. `/etc/passwd`) als Schriftart-Datenchunk im `create-font-variant`-RPC-Endpunkt angibt, wodurch die Dateiinhalte als „Schriftart“-Asset gespeichert und abgerufen werden können. Dies ist eine Schwachstelle für das willkürliche Lesen von Dateien (Arbitrary File Read). Jeder authentifizierte Benutzer mit Berechtigungen zum Bearbeiten von Teams kann beliebige Dateien lesen, auf die der Penpot-Backend-Prozess im Host-Dateisystem Zugriff hat. Dies kann zur Offenlegung sensibler Systemdateien, Anwendungsschlüssel, Datenbankzugangsdaten und privater Schlüssel führen und potenziell eine weitere Kompromittierung des Servers ermöglichen. In containerisierten Bereitstellungen kann das Schadensausmaß auf das Container-Dateisystem beschränkt sein, jedoch sind Umgebungsvariablen, eingehängete Geheimnisse und Anwendungskonfigurationen weiterhin gefährdet. Version 2.13.2 enthält einen Patch für das Problem.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

11.02.2026

Veröffentlichung

19.02.2026

Moderieren

akzeptiert

Eintrag

VDB-346971

CPE

bereit

EPSS

0.00109

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-26202
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-26202
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-26202/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!