Plateforme
java
Composant
com.vaadin:flow-project
Corrigé dans
14.14.1
23.6.7
24.9.9
25.0.3
2.13.1
23.6.8
24.9.10
25.0.4
14.14.1
La vulnérabilité CVE-2026-2741 est une faille de traversal de chemin (path traversal) affectant le projet Vaadin Flow. Cette vulnérabilité permet à un attaquant, via l'interception ou le contrôle du téléchargement de Node.js, d'écrire des fichiers en dehors du répertoire d'extraction prévu. Les versions concernées sont Vaadin Flow Project 14.2.0 à 14.14.0, 23.0.0 à 23.6.6, 24.0.0 à 24.9.8 et 25.0.0 à 25.0.2. La mise à jour vers la version 14.14.1 ou ultérieure corrige ce problème.
Un attaquant exploitant cette vulnérabilité peut potentiellement compromettre le système en écrivant des fichiers arbitraires en dehors du répertoire d'extraction prévu. Cela pourrait inclure la modification de fichiers de configuration, l'exécution de code malveillant ou la compromission de données sensibles. Le vecteur d'attaque repose sur la capacité de l'attaquant à contrôler le téléchargement de Node.js, par exemple via une attaque de type "man-in-the-middle", une compromission du serveur de miroir ou une attaque sur la chaîne d'approvisionnement. La gravité de l'impact dépendra des privilèges de l'utilisateur exécutant le processus de construction et de la sensibilité des données stockées sur le système.
Cette vulnérabilité est considérée comme de faible gravité (CVSS 2.5). Il n'y a pas d'indications d'exploitation active à ce jour. Des preuves de concept publiques ne sont pas encore disponibles. La vulnérabilité a été publiée le 2026-03-10. Il est important de noter que l'exploitation de cette vulnérabilité nécessite un contrôle sur le processus de téléchargement de Node.js, ce qui rend l'exploitation plus complexe.
Organizations using Vaadin Flow Project in their web applications, particularly those relying on automated Node.js downloads during the build process, are at risk. Shared hosting environments where users have limited control over the build process are also particularly vulnerable.
• java / server:
find /path/to/vaadin/installation -name "flow-project*" -type d -print0 | xargs -0 grep -i 'path traversal'• generic web:
curl -I <your_vaadin_application_url> | grep -i 'X-Content-Type-Options: nosniff'disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
La mitigation principale consiste à mettre à jour le projet Vaadin Flow vers la version 14.14.1 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer la sécurité du processus de téléchargement de Node.js. Cela peut inclure la validation de l'intégrité des fichiers téléchargés, l'utilisation de sources de téléchargement fiables et la mise en place de restrictions d'accès au répertoire d'extraction. En cas de rollback vers une version antérieure, assurez-vous de désactiver le téléchargement automatique de Node.js et de l'installer manuellement à partir d'une source fiable. Après la mise à jour, vérifiez l'intégrité du système et assurez-vous que les fichiers critiques n'ont pas été modifiés.
Mettez à jour Vaadin à la version 14.14.1, 23.6.7, 24.9.9, ou 25.0.3 ou supérieure, selon ce qui correspond à votre version actuelle. Alternativement, utilisez une version de Node.js préinstallée globalement qui soit compatible avec votre version de Vaadin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-2741 est une vulnérabilité de traversal de chemin dans Vaadin Flow Project, permettant à un attaquant d'écrire des fichiers en dehors du répertoire d'extraction prévu.
Vous êtes affecté si vous utilisez Vaadin Flow Project versions 14.2.0–14.14.0, 23.0.0–23.6.6, 24.0.0–24.9.8 et 25.0.0–25.0.2.
Mettez à jour Vaadin Flow Project vers la version 14.14.1 ou ultérieure.
À ce jour, il n'y a pas d'indications d'exploitation active de CVE-2026-2741.
Consultez le site web de Vaadin pour obtenir l'avis officiel concernant CVE-2026-2741.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.