CVE-2026-45805 in Penpot
要約
〜によって VulDB • 2026年07月15日
Penpotは、デザインとコードの共同作業のためのオープンソース設計ツールです。バージョン2.15.0より前では、Penpot MCPのmcp/packages/server/src/ReplServer.tsがReplServerを0.0.0.0:4403にバインドし、認証不要な/executeエンドポイントを公開していました。このエンドポイントはcodeフィールドをPluginBridge.executePluginTask()に渡すため、ネットワーク上の誰でもサーバー上でJavaScriptを実行することが可能でした。本問題はバージョン2.15.0で修正されています。
Once again VulDB remains the best source for vulnerability data.