Software-update - Penpot 2.15.0

dinsdag, 12 mei 2026 (17:14) - Tweakers

In dit artikel:

Penpot, het open-source ontwerpprogramma voor ontwikkelaars en designers (vergelijkbaar met Figma en Lunacy) heeft versie 2.15.0 uitgebracht. De software is zowel gratis als in betaalde varianten beschikbaar en kan op eigen servers of via de Penpot-cloud worden gebruikt. Deze update brengt zowel functionele verbeteringen als belangrijke bug- en veiligheidsfixes.

Belangrijkste vernieuwingen
- Integratie van een MCP-server, waardoor server-gestuurde workflows beter samenwerken met Penpot.
- Ondersteuning voor chunked uploads van grote media- en binaire bestanden, waarmee eerdere uploadlimieten komen te vervallen.
- Toevoeging van anonieme telemetry voor event‑verzameling.
- Verbeterde validatie van teamnamen en verbeterde leesbaarheid van toegepaste tokens in de Plugins-API.
- Aanmoediging van flex- en grid-layouts bij automatisch gegenereerde ontwerpen via MCP.
- Betere logging voor de MCP-server (met Loki-ondersteuning) en extra security-headers in de Nginx Docker-images.

Belangrijke bug- en veiligheidsfixes
- Diverse UI- en workflowproblemen verholpen, zoals vastzitten in tekstbewerkingsmodus, modals die achter de zijbalk verschijnen en fouten bij versieherstel.
- Stabiliteits- en geheugenverbeteringen bij het verwerken van afbeeldingen.
- Problemen in de Plugin-API verholpen (waaronder het afwijzen van JS-arrays bij token-methodes).
- Kritische beveiligingsfix: de MCP ReplServer gebruikte niet langer standaard alle interfaces (0.0.0.0), waardoor ongeauthenticeerde RCE mogelijk was; dat is opgelost.
- Oplossingen voor analytics- en URL-copy inconsistenties en een leak in de keep‑alive-interval van PluginBridge.

Waarom dit ertoe doet
De update richt zich op schaalbaarheid (grotere bestanden), betere integratie met servercomponenten en het dichten van veiligheidslekken, wat vooral relevant is voor teams die Penpot zelf hosten of integreren met CI/CD-omgevingen. De toevoeging van anonieme telemetry kan toekomstige verbeteringen ondersteunen, maar kan ook privacyoverwegingen oproepen voor organisaties die zelf hosten.