CVE-2026-44225
KrytyczneStreszczenie
Pulpy to lekka, wieloplatformowa aplikacja do pakowania aplikacji webowych. W wersji przed 0.1.1, Pulpy wstrzykiwał API JavaScript pulpy.fs do każdej zapakowanej aplikacji webowej, co umożliwiało dostęp do systemu plików hosta. Funkcja validateFsPath() miała ograniczać ten dostęp, ale jej lista blokad była niekompletna.
Ocena ryzyka
Każda aplikacja webowa zapakowana z użyciem Pulpy mogła odczytywać i zapisywać dowolne pliki w katalogu domowym użytkownika, co stwarza poważne ryzyko wycieku wrażliwych danych, takich jak klucze SSH czy dane uwierzytelniające AWS.
Rekomendacja
Zaleca się aktualizację Pulpy do wersji 0.1.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy monitorować dostęp do wrażliwych plików w systemie.
Oryginalny opis (angielski, źródło NVD)
Pulpy is a lightweight, cross-platform desktop application packager for web apps. Prior to 0.1.1, Pulpy injects a pulpy.fs JavaScript API into every packaged web application, giving it access to the host filesystem. A validateFsPath() function is supposed to sandbox this access, but its blocklist is incomplete. Any web app packaged with Pulpy can read and write arbitrary files in the user's home directory — including ~/.ssh/id_rsa, ~/.aws/credentials, and ~/Library/Keychains/. This vulnerability is fixed in 0.1.1.

