← voltar
CVE-2026-45806

Penpot: Authenticated SSRF in remote image import via create-file-media-object-from-url

CVSS 7.7 HIGHCWE-918
Vexday Risk Score
38Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS 7.7EPSS KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
26 jun 2026PoC pública
15 jul 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
Penpot is an open-source design tool for design and code collaboration. Prior to 2.15.0, Penpot's remote image import passed the user-controlled url from frontend/src/app/main/data/workspace/media.cljs into the backend RPC method :create-file-media-object-from-url in backend/src/app/rpc/commands/media.clj, where media/download-image in backend/src/app/media.clj used the shared HTTP client without destination filtering, allowing an authenticated file editor to reach internal-only endpoints. This issue is fixed in version 2.15.0.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Produtos afetados
penpot · penpot
PoCs públicas encontradas1
githubgithub.com/0xmrma/CVE-2026-458060
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.