CVE-2026-45806 in Penpot
Resumen
por VulDB • 2026-07-16
Penpot es una herramienta de diseño de código abierto para la colaboración en diseño y desarrollo de código. Antes de la versión 2.15.0, la importación remota de imágenes en Penpot pasaba la URL controlada por el usuario desde frontend/src/app/main/data/workspace/media.cljs al método RPC del backend :create-file-media-object-from-url en backend/src/app/rpc/commands/media.clj, donde media/download-image en backend/src/app/media.clj utilizaba el cliente HTTP compartido sin filtrado de destino, lo que permitía a un editor de archivos autenticado acceder a puntos finales exclusivos internos. Este problema se ha corregido en la versión 2.15.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.