CVE-2026-45806 in Penpotinfo

Zusammenfassung

von VulDB • 15.07.2026

Penpot ist ein Open-Source-Designwerkzeug für die Zusammenarbeit beim Design und Code. Vor Version 2.15.0 übergab Penpot bei der Remote-Bildimport-Funktion die benutzerkontrollierte URL aus frontend/src/app/main/data/workspace/media.cljs an die Backend-RPC-Methode :create-file-media-object-from-url in backend/src/app/rpc/commands/media.clj, wobei media/download-image in backend/src/app/media.clj den gemeinsam genutzten HTTP-Client ohne Zielgruppenfilterung verwendete. Dies ermöglichte es einem authentifizierten Dateibearbeiter, auf nur intern zugängliche Endpunkte zuzugreifen. Dieses Problem wurde in Version 2.15.0 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

13.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379294

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!