← volver
CVE-2026-45806

Penpot: Authenticated SSRF in remote image import via create-file-media-object-from-url

CVSS 7.7 HIGHCWE-918
Vexday Risk Score
38Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Prueba de concepto
Existe prueba de concepto pública, pero aún no automatizada.
CVSS 7.7EPSS KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
26 jun 2026PoC pública
15 jul 2026Publicada en NVD
Recomendación: Planificar corrección próxima — ya existe PoC pública.
Penpot is an open-source design tool for design and code collaboration. Prior to 2.15.0, Penpot's remote image import passed the user-controlled url from frontend/src/app/main/data/workspace/media.cljs into the backend RPC method :create-file-media-object-from-url in backend/src/app/rpc/commands/media.clj, where media/download-image in backend/src/app/media.clj used the shared HTTP client without destination filtering, allowing an authenticated file editor to reach internal-only endpoints. This issue is fixed in version 2.15.0.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Productos afectados
penpot · penpot
PoCs públicas encontradas1
githubgithub.com/0xmrma/CVE-2026-458060
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.