CVE-2026-45805 in Penpot
Resumen
por VulDB • 2026-07-16
Penpot es una herramienta de diseño de código abierto para la colaboración en el diseño y el desarrollo de código. Antes de la versión 2.15.0, ReplServer.ts ubicado en mcp/packages/server/src/ReplServer.ts del componente Penpot MCP vinculaba el servidor a 0.0.0.0:4403 y exponía un endpoint /execute sin autenticación que pasaba el campo code a PluginBridge.executePluginTask(), permitiendo que cualquier persona en la red ejecutara JavaScript en el servidor. Este problema se ha corregido en la versión 2.15.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.