Plataforma
java
Componente
com.vaadin:flow-project
Corregido en
14.14.1
23.6.7
24.9.9
25.0.3
2.13.1
23.6.8
24.9.10
25.0.4
14.14.1
La vulnerabilidad CVE-2026-2741 es un fallo de path traversal que afecta a Vaadin Flow Project en versiones específicas. Un atacante puede aprovechar este fallo para escribir archivos fuera del directorio de extracción durante el proceso de descarga y extracción de Node.js. Las versiones afectadas son Vaadin 14.2.0 hasta 14.14.0, 23.0.0 hasta 23.6.6, 24.0.0 hasta 24.9.8 y 25.0.0 hasta 25.0.2. Se recomienda actualizar a la versión 14.14.1 o superior para solucionar el problema.
Este fallo de path traversal permite a un atacante, si logra interceptar o controlar la descarga de Node.js (a través de DNS hijacking, un ataque MITM, un espejo comprometido o un ataque a la cadena de suministro), servir un archivo ZIP malicioso. Este archivo contiene secuencias de path traversal que permiten la escritura de archivos en ubicaciones arbitrarias del sistema de archivos. El impacto potencial incluye la modificación o eliminación de archivos críticos, la ejecución de código malicioso y el compromiso de la confidencialidad e integridad del sistema. La severidad es baja debido a la necesidad de controlar la descarga de Node.js, lo que requiere un ataque más sofisticado.
Esta vulnerabilidad fue publicada el 2026-03-10. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación. La probabilidad de explotación se considera baja, ya que requiere un ataque de intermediario (MITM) o control sobre la cadena de suministro para manipular la descarga de Node.js. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza del fallo de path traversal lo convierte en un objetivo potencial para futuros ataques.
Organizations using Vaadin Flow Project in their web applications, particularly those relying on automated Node.js downloads during the build process, are at risk. Shared hosting environments where users have limited control over the build process are also particularly vulnerable.
• java / server:
find /path/to/vaadin/installation -name "flow-project*" -type d -print0 | xargs -0 grep -i 'path traversal'• generic web:
curl -I <your_vaadin_application_url> | grep -i 'X-Content-Type-Options: nosniff'disclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
La mitigación principal para CVE-2026-2741 es actualizar a la versión 14.14.1 o superior de Vaadin Flow Project. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen asegurar la integridad de las fuentes de descarga de Node.js, implementar un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas y monitorear los registros del sistema en busca de actividad sospechosa. Verifique que la descarga de Node.js se realice desde una fuente confiable y que no haya sido alterada. Después de la actualización, confirme que el proceso de descarga y extracción de Node.js funciona correctamente y no permite la escritura de archivos fuera del directorio esperado.
Actualice Vaadin a la versión 14.14.1, 23.6.7, 24.9.9 o 25.0.3 o superior, según corresponda a su versión actual. Alternativamente, utilice una versión de Node.js preinstalada globalmente que sea compatible con su versión de Vaadin.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2741 is a path traversal vulnerability in Vaadin Flow Project allowing attackers to write files outside the intended directory during Node.js downloads.
You are affected if you are using Vaadin Flow Project versions 14.2.0-14.14.0, 23.0.0-23.6.6, 24.0.0-24.9.8, or 25.0.0-25.0.2.
Upgrade to version 14.14.1 or later of Vaadin Flow Project. Consider workarounds like checksum verification if immediate upgrade isn't possible.
There are currently no known public exploits or active campaigns targeting CVE-2026-2741.
Refer to the official Vaadin security advisory for CVE-2026-2741 on the Vaadin website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.