Platform
java
Component
com.vaadin:flow-project
Opgelost in
14.14.1
23.6.7
24.9.9
25.0.3
2.13.1
23.6.8
24.9.10
25.0.4
14.14.1
CVE-2026-2741 beschrijft een path traversal kwetsbaarheid in Vaadin Flow Project. Deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de beoogde extractiedirectory te schrijven, wat kan leiden tot ongeautoriseerde toegang of wijziging van systeembestanden. De kwetsbaarheid treft versies 14.2.0 t/m 14.14.0, 23.0.0 t/m 23.6.6, 24.0.0 t/m 24.9.8 en 25.0.0 t/m 25.0.2. Een fix is beschikbaar in versie 14.14.1.
Een succesvolle exploitatie van CVE-2026-2741 kan ernstige gevolgen hebben. Een aanvaller kan een kwaadaardig ZIP-archief aanbieden dat, wanneer gedownload en geëxtraheerd door Vaadin’s build proces, bestanden buiten de beoogde extractiedirectory schrijft. Dit kan leiden tot het overschrijven van configuratiebestanden, het installeren van malware of het verkrijgen van ongeautoriseerde toegang tot gevoelige gegevens. De impact wordt versterkt door het feit dat de download van Node.js automatisch kan plaatsvinden, waardoor de aanvaller de mogelijkheid heeft om de download te onderscheppen en te manipuleren via technieken zoals DNS-hijacking of een Man-in-the-Middle (MITM) aanval. Een gecompromitteerd mirror of een supply chain aanval kan ook gebruikt worden om een kwaadaardig archief te leveren.
Op dit moment (2026-03-10) is CVE-2026-2741 niet opgenomen in de CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits bekend, maar de mogelijkheid van exploitatie via DNS-hijacking of MITM-aanvallen is reëel. De kwetsbaarheid is afhankelijk van de mogelijkheid om de download van Node.js te controleren, wat de exploitatie complexer maakt, maar niet onmogelijk.
Organizations using Vaadin Flow Project in their web applications, particularly those relying on automated Node.js downloads during the build process, are at risk. Shared hosting environments where users have limited control over the build process are also particularly vulnerable.
• java / server:
find /path/to/vaadin/installation -name "flow-project*" -type d -print0 | xargs -0 grep -i 'path traversal'• generic web:
curl -I <your_vaadin_application_url> | grep -i 'X-Content-Type-Options: nosniff'disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-2741 is het upgraden naar Vaadin Flow Project versie 14.14.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het handmatig downloaden en verifiëren van Node.js om de mogelijkheid van een gemanipuleerde download te voorkomen. Controleer de integriteit van de gedownloade bestanden met behulp van checksums. Implementeer een Web Application Firewall (WAF) om verdachte ZIP-bestanden te blokkeren. Na de upgrade, verifieer de fix door een test ZIP-archief te downloaden en te extraheren en controleer of bestanden alleen in de beoogde extractiedirectory worden geplaatst.
Actualiseer Vaadin naar versie 14.14.1, 23.6.7, 24.9.9, of 25.0.3 of hoger, afhankelijk van uw huidige versie. Alternatief, gebruik een globaal voorgeïnstalleerde Node.js versie die compatibel is met uw Vaadin versie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-2741 is a path traversal vulnerability in Vaadin Flow Project allowing attackers to write files outside the intended directory during Node.js downloads.
You are affected if you are using Vaadin Flow Project versions 14.2.0-14.14.0, 23.0.0-23.6.6, 24.0.0-24.9.8, or 25.0.0-25.0.2.
Upgrade to version 14.14.1 or later of Vaadin Flow Project. Consider workarounds like checksum verification if immediate upgrade isn't possible.
There are currently no known public exploits or active campaigns targeting CVE-2026-2741.
Refer to the official Vaadin security advisory for CVE-2026-2741 on the Vaadin website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.