Plataforma
nodejs
Componente
@tinacms/cli
Corregido en
2.1.9
2.1.8
La vulnerabilidad CVE-2026-28792 es un fallo de recorrido de directorios (Path Traversal) descubierto en la herramienta @tinacms/cli, utilizada para el desarrollo de sitios web con TinaCMS. Esta vulnerabilidad, combinada con una configuración CORS permisiva, permite a un atacante remoto enumerar, escribir y eliminar archivos en la máquina de un desarrollador simplemente engañándolo para que visite un sitio web malicioso mientras el servidor de desarrollo de TinaCMS está en ejecución. La vulnerabilidad afecta a versiones anteriores a 2.1.8 y se ha publicado el parche correspondiente.
El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante comprometer la seguridad de la máquina del desarrollador. Un atacante podría, por ejemplo, leer archivos confidenciales como claves API, contraseñas o código fuente sensible. Además, la capacidad de escribir archivos arbitrarios permite la ejecución de código malicioso, lo que podría conducir a la toma de control completa del sistema. La configuración CORS permisiva amplifica el riesgo, ya que facilita la explotación desde cualquier origen, haciendo que la vulnerabilidad sea fácilmente aprovechable a través de sitios web maliciosos. Esta vulnerabilidad se asemeja a ataques de recorrido de directorios que han afectado a otras herramientas de desarrollo en el pasado, donde la falta de validación adecuada de las rutas de archivo permite el acceso no autorizado.
La vulnerabilidad CVE-2026-28792 fue publicada el 12 de marzo de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la redacción. La probabilidad de explotación se considera media, dado que la vulnerabilidad es relativamente sencilla de explotar y la configuración CORS permisiva facilita el ataque. Se desconoce si existen pruebas de concepto (PoC) públicas, pero la naturaleza del fallo de recorrido de directorios sugiere que es probable que surjan en breve. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Developers actively using the @tinacms/cli package for content management development are at significant risk. This includes those working on projects utilizing TinaCMS and running the tinacms dev server locally. The vulnerability is particularly concerning for developers who frequently visit untrusted websites or work in environments with limited security awareness.
• nodejs / supply-chain:
npm audit @tinacms/cli• nodejs / supply-chain:
yarn audit @tinacms/cli• generic web: Check for unusual file modifications or deletions on developer machines, particularly in directories accessible by the tinacms dev process.
disclosure
Estado del Exploit
EPSS
0.28% (51% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28792 es actualizar a la versión 2.1.8 de @tinacms/cli, que incluye la corrección del fallo de recorrido de directorios. Si la actualización no es inmediatamente posible, se recomienda restringir las políticas CORS del servidor de desarrollo de TinaCMS para evitar solicitudes de origen cruzado no autorizadas. Esto se puede lograr configurando el encabezado Access-Control-Allow-Origin para permitir solo orígenes específicos y confiables. Además, se debe educar a los desarrolladores sobre los riesgos de ejecutar servidores de desarrollo con configuraciones CORS permisivas y evitar visitar sitios web sospechosos mientras el servidor está en ejecución. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el servidor de desarrollo ya no permite el acceso no autorizado a los archivos del sistema.
Actualice el paquete @tinacms/cli a la versión 2.1.8 o superior. Esto corrige la vulnerabilidad de recorrido de directorio y la configuración CORS permisiva que permiten la exfiltración de archivos. Ejecute `npm install @tinacms/cli@latest` o `yarn add @tinacms/cli@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28792 is a critical vulnerability in @tinacms/cli allowing attackers to read, write, and delete files on developer machines via a malicious website due to permissive CORS and path traversal.
You are affected if you are using @tinacms/cli versions prior to 2.1.8 and running the tinacms dev server.
Upgrade to @tinacms/cli version 2.1.8 or later. As a temporary workaround, restrict CORS origins.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a high probability of future attacks.
Refer to the official @tinacms/cli release notes and security advisories on their website or GitHub repository.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.