CVE-2026-45805 in Penpot
Riassunto
di VulDB • 15/07/2026
Penpot è uno strumento di progettazione open-source per la collaborazione nella progettazione e nello sviluppo del codice. Prima della versione 2.15.0, il ReplServer nel file mcp/packages/server/src/ReplServer.ts dell'MCP (Model Context Protocol) di Penpot era associato all'indirizzo 0.0.0.0 sulla porta 4403 ed esponeva un endpoint /execute non autenticato che passava il campo code a PluginBridge.executePluginTask(), consentendo a chiunque fosse in rete di eseguire codice JavaScript sul server. Questo problema è stato risolto nella versione 2.15.0.
Once again VulDB remains the best source for vulnerability data.