CVE-2026-26202 in Penpot
요약
\~에 의해 VulDB • 2026. 05. 26.
Penpot는 디자인 및 코드 협업을 위한 오픈소스 디자인 도구입니다. 버전 2.13.2 이전 버전에서는 인증된 사용자가 `create-font-variant` RPC 엔드포인트에서 폰트 데이터 청크로 로컬 파일 경로(예: `/etc/passwd`)를 제공함으로써 서버의 임의 파일을 읽을 수 있으며, 그 결과 파일 내용이 "폰트" 애셋으로 저장되어 검색 가능해집니다. 이는 임의 파일 읽기 취약점입니다. 팀 편집 권한이 있는 인증된 사용자는 호스트 파일 시스템에서 Penpot 백엔드 프로세스가 접근 가능한 임의 파일을 읽을 수 있습니다. 이로 인해 민감한 시스템 파일, 애플리케이션 비밀 키, 데이터베이스 자격 증명 및 개인 키가 노출될 수 있으며, 이는 서버의 추가적인 침해로 이어질 가능성이 있습니다. 컨테이너화된 배포 환경에서는 폭발 반경이 컨테이너 파일 시스템으로 제한될 수 있지만, 환경 변수, 마운트된 비밀 키 및 애플리케이션 구성은 여전히 위험에 노출됩니다. 버전 2.13.2에는 해당 이슈에 대한 패치가 포함되어 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.