CVE-2026-44225

Nome do Software Vulnerável e Versões Afetadas Pulpy versões anteriores a 0.1.1

Descrição O Pulpy injeta uma API JavaScript pulpy.fs em aplicações web empacotadas para fornecer acesso ao sistema de arquivos do host. A função validateFsPath(), destinada a isolar esse acesso, possui uma lista de bloqueio incompleta. Isso permite que qualquer aplicação web empacotada leia e escreva arquivos arbitrários no diretório home do usuário, como ~/.ssh/id rsa, ~/.aws/credentials e ~/Library/Keychains/.

Recomendações Atualize para a versão 0.1.1.