Plataforma
java
Componente
com.vaadin:flow-project
Corrigido em
14.14.1
23.6.7
24.9.9
25.0.3
2.13.1
23.6.8
24.9.10
25.0.4
14.14.1
A vulnerabilidade CVE-2026-2741 é um problema de Path Traversal descoberto no Vaadin Flow Project. Um atacante pode explorar essa falha ao fornecer um arquivo ZIP especialmente criado que, durante o download e extração pelo processo de build do Vaadin, permite a escrita de arquivos fora do diretório de extração pretendido. As versões afetadas incluem Vaadin 14.2.0 até 14.14.0, 23.0.0 até 23.6.6, 24.0.0 até 24.9.8 e 25.0.0 até 25.0.2. A correção está disponível na versão 14.14.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código arbitrário no servidor, potencialmente comprometendo a aplicação e os dados subjacentes. O atacante precisa ser capaz de interceptar ou controlar o download do Node.js, o que pode ser feito através de técnicas como DNS hijacking, ataques Man-in-the-Middle (MITM) ou comprometendo um espelho de download. Isso pode levar à modificação de arquivos de configuração, inserção de código malicioso ou até mesmo à execução remota de comandos. O impacto é ampliado se a aplicação Vaadin for utilizada em um ambiente de produção com dados sensíveis.
A vulnerabilidade foi divulgada em 2026-03-10. Não há informações disponíveis sobre a adição a KEV (CISA KEV) ou a existência de um EPSS score. Atualmente, não há provas públicas de exploração ativa, mas a facilidade de exploração, combinada com a possibilidade de ataques MITM, torna a vulnerabilidade um risco potencial. É crucial implementar as medidas de mitigação para reduzir a superfície de ataque.
Organizations using Vaadin Flow Project in their web applications, particularly those relying on automated Node.js downloads during the build process, are at risk. Shared hosting environments where users have limited control over the build process are also particularly vulnerable.
• java / server:
find /path/to/vaadin/installation -name "flow-project*" -type d -print0 | xargs -0 grep -i 'path traversal'• generic web:
curl -I <your_vaadin_application_url> | grep -i 'X-Content-Type-Options: nosniff'disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
A mitigação primária é atualizar o Vaadin Flow Project para a versão 14.14.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Verifique a integridade das fontes de download do Node.js para garantir que não foram comprometidas. Implemente regras em um Web Application Firewall (WAF) para bloquear solicitações que contenham sequências de path traversal suspeitas. Monitore os logs do servidor em busca de tentativas de escrita de arquivos fora do diretório de extração esperado. Após a atualização, confirme a correção verificando se o processo de build do Vaadin não permite mais a escrita de arquivos fora do diretório de extração.
Atualize o Vaadin para a versão 14.14.1, 23.6.7, 24.9.9 ou 25.0.3 ou superior, conforme apropriado para sua versão atual. Alternativamente, utilize uma versão do Node.js pré-instalada globalmente que seja compatível com sua versão do Vaadin.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-2741 is a path traversal vulnerability in Vaadin Flow Project allowing attackers to write files outside the intended directory during Node.js downloads.
You are affected if you are using Vaadin Flow Project versions 14.2.0-14.14.0, 23.0.0-23.6.6, 24.0.0-24.9.8, or 25.0.0-25.0.2.
Upgrade to version 14.14.1 or later of Vaadin Flow Project. Consider workarounds like checksum verification if immediate upgrade isn't possible.
There are currently no known public exploits or active campaigns targeting CVE-2026-2741.
Refer to the official Vaadin security advisory for CVE-2026-2741 on the Vaadin website.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.