Plattform
nodejs
Komponente
@tinacms/graphql
Behoben in
2.2.3
2.2.2
CVE-2026-34603 describes a path traversal vulnerability discovered in the @tinacms/graphql package, a component used for content management systems. This flaw allows attackers to potentially access and modify files outside of the designated media directory, leading to unauthorized data exposure or modification. The vulnerability affects versions prior to 2.2.2 and has been resolved in version 2.2.2.
CVE-2026-34603 in @tinacms/cli ermöglicht einem Angreifer, auf Dateien außerhalb des vorgesehenen Medienverzeichnisses zuzugreifen und diese zu ändern. Obwohl lexikalische Pfad-Traversal-Prüfungen implementiert wurden, lösen diese symbolische Links oder Junctions nicht korrekt auf. Das bedeutet, dass TinaCMS, wenn ein Link innerhalb des Medienverzeichnisses existiert, einen Pfad wie pivot/written-from-media.txt als gültig akzeptiert und dann Dateisystemoperationen auf dieses Link-Ziel ausführt. Dies kann zu einer Auflistung und Schreibzugriff auf Medien außerhalb der Root führen und die Sicherheit der Anwendung gefährden. Das Fehlen der Link-Auflösung ermöglicht es einem Angreifer, die implementierten Pfadschutzmaßnahmen zu umgehen.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er einen symbolischen Link oder eine Junction innerhalb des Medienverzeichnisses erstellt, die auf eine Datei außerhalb dieses Verzeichnisses verweist. Durch die Angabe eines Pfads, der diesen Link verwendet, kann der Angreifer TinaCMS dazu verleiten, auf Dateien außerhalb des vorgesehenen Medienverzeichnisses zuzugreifen und diese zu ändern. Die Komplexität der Ausnutzung hängt von der Fähigkeit des Angreifers ab, symbolische Links oder Junctions auf dem zugrunde liegenden Dateisystem zu erstellen und zu manipulieren. Eine erfolgreiche Ausnutzung erfordert Zugriff auf das Dateisystem, auf dem sich das TinaCMS-Projekt befindet.
TinaCMS deployments using versions of @tinacms/graphql prior to 2.2.2 are at risk. This includes projects utilizing TinaCMS for content management and those relying on the @tinacms/graphql package for media handling. Shared hosting environments where the media directory permissions are not strictly controlled are particularly vulnerable.
• nodejs / server:
npm audit @tinacms/graphql• nodejs / server:
grep -r "funct" /path/to/node_modules/@tinacms/graphql/• generic web: Inspect requests to dev media routes for suspicious path parameters containing '..' or symbolic link references.
disclosure
Exploit-Status
EPSS
0.07% (23% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abschwächung für CVE-2026-34603 ist das Upgrade auf Version 2.2.2 oder höher von @tinacms/cli. Diese Version enthält eine Korrektur, die das Problem der Nichtauflösung von symbolischen Links und Junctions behebt. Darüber hinaus wird empfohlen, die Konfiguration Ihres Medienverzeichnisses zu überprüfen, um sicherzustellen, dass keine symbolischen Links oder Junctions vorhanden sind, die ausgenutzt werden könnten. Die Implementierung eines robusten Berechtigungssystems für das Medienverzeichnis kann ebenfalls dazu beitragen, die Auswirkungen einer möglichen Ausnutzung zu begrenzen. Regelmäßige Sicherheitsaudits sind entscheidend, um potenzielle Schwachstellen zu identifizieren und zu beheben.
Actualice la versión de @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de path traversal en los endpoints de media.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein symbolischer Link ist eine Art von Datei, die auf eine andere Datei oder ein anderes Verzeichnis verweist. Es ähnelt einem Verknüpfung in Windows.
Eine Junction ist eine Art symbolischer Link, der in Netzwerksystemen verwendet wird. Sie ermöglicht den Zugriff auf Dateien und Verzeichnisse auf einem Remote-Dateisystem, als ob sie sich lokal befänden.
Wenn Sie eine Version von @tinacms/cli vor 2.2.2 verwenden, sind Sie wahrscheinlich anfällig. Sie können Ihre Version überprüfen, indem Sie npm list @tinacms/cli in Ihrem Projekt ausführen.
Wenn Sie nicht sofort aktualisieren können, wird empfohlen, die Konfiguration Ihres Medienverzeichnisses zu überprüfen und sicherzustellen, dass keine symbolischen Links oder Junctions vorhanden sind, die ausgenutzt werden könnten. Implementieren Sie außerdem ein robustes Berechtigungssystem.
Es ist wichtig, sich über die neuesten Sicherheitsupdates für @tinacms/cli und andere Pakete, die Sie in Ihrem Projekt verwenden, auf dem Laufenden zu halten.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.