平台
java
组件
com.vaadin:flow-project
修复版本
14.14.1
23.6.7
24.9.9
25.0.3
2.13.1
23.6.8
24.9.10
25.0.4
14.14.1
CVE-2026-2741是一个路径遍历漏洞,影响Vaadin Flow Project。攻击者可以利用此漏洞在Node.js下载和提取过程中,通过精心构造的ZIP文件逃逸预期的提取目录,从而在目标目录外写入文件。受影响的版本包括Vaadin 14.2.0到14.14.0,23.0.0到23.6.6,24.0.0到24.9.8,以及25.0.0到25.0.2。建议升级至14.14.1版本以解决此问题。
该漏洞允许攻击者通过控制Vaadin的Node.js下载过程,利用恶意ZIP文件在系统上执行任意代码或访问敏感数据。攻击者可能通过DNS劫持、中间人攻击、受损镜像或供应链攻击来控制下载过程。成功利用此漏洞可能导致未经授权的文件修改、数据泄露,甚至可能导致系统被完全控制。由于Vaadin Flow Project广泛应用于企业级Web应用程序,因此该漏洞的潜在影响范围非常广泛,可能影响大量用户和系统。
该漏洞已公开披露,目前尚未观察到大规模利用。由于漏洞的CVSS评分为低,且需要攻击者控制Node.js下载过程,因此实际利用的可能性相对较低。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations using Vaadin Flow Project in their web applications, particularly those relying on automated Node.js downloads during the build process, are at risk. Shared hosting environments where users have limited control over the build process are also particularly vulnerable.
• java / server:
find /path/to/vaadin/installation -name "flow-project*" -type d -print0 | xargs -0 grep -i 'path traversal'• generic web:
curl -I <your_vaadin_application_url> | grep -i 'X-Content-Type-Options: nosniff'disclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
最有效的缓解措施是立即升级至受影响版本中已修复漏洞的版本(14.14.1)。如果无法立即升级,可以考虑以下临时缓解措施:限制Node.js下载的来源,确保下载过程的完整性;使用防火墙或代理服务器来过滤恶意ZIP文件;监控系统日志,检测异常的文件写入活动。升级后,请验证新版本是否已成功部署,并确认漏洞已得到修复。
根据您的当前版本,将 Vaadin 更新到 14.14.1、23.6.7、24.9.9 或 25.0.3 或更高版本。或者,使用与您的 Vaadin 版本兼容的全局预安装的 Node.js 版本。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-2741是一个路径遍历漏洞,影响Vaadin Flow Project 14.2.0-14.14.0, 23.0.0-23.6.6, 24.0.0-24.9.8, 25.0.0-25.0.2。攻击者可以利用此漏洞在目标目录外写入文件。
如果您正在使用Vaadin Flow Project 14.2.0到14.14.0,23.0.0到23.6.6,24.0.0到24.9.8,以及25.0.0到25.0.2,则可能受到影响。
建议升级至14.14.1版本以修复此问题。
目前尚未观察到大规模利用,但建议密切关注安全社区的动态。
请访问Vaadin官方网站或安全公告页面,搜索CVE-2026-2741以获取更多信息。
上传你的 pom.xml 文件,立即知道是否受影响。