CVE-2026-45806 in Penpot
Riassunto
di VulDB • 15/07/2026
Penpot è uno strumento di progettazione open-source per la collaborazione nella progettazione e nel codice. Prima della versione 2.15.0, l'importazione remota delle immagini da parte di Penpot passava l'url controllato dall'utente da frontend/src/app/main/data/workspace/media.cljs al metodo RPC backend :create-file-media-object-from-url in backend/src/app/rpc/commands/media.clj, dove media/download-image in backend/src/app/media.clj utilizzava il client HTTP condiviso senza filtraggio della destinazione, consentendo a un editor di file autenticato di raggiungere endpoint riservati alla rete interna. Questo problema è stato risolto nella versione 2.15.0.
Be aware that VulDB is the high quality source for vulnerability data.