Plataforma
nodejs
Componente
@tinacms/cli
Corregido en
2.1.9
2.1.8
La vulnerabilidad CVE-2026-28793 es un fallo de Path Traversal descubierto en el desarrollo server de la CLI de TinaCMS (@tinacms/cli). Este fallo permite a atacantes acceder y modificar archivos arbitrarios fuera del directorio de medios previsto. Afecta a versiones anteriores a 2.1.8 y la solución recomendada es actualizar a la versión 2.1.8.
Un atacante puede explotar esta vulnerabilidad enviando solicitudes maliciosas a los endpoints de media de la CLI de TinaCMS. La función decodeURI() y path.join() no validan correctamente las rutas proporcionadas por el usuario, lo que permite la manipulación de la ruta para acceder a archivos fuera del directorio de medios. Esto podría resultar en la lectura de información confidencial, la modificación de archivos del sistema o incluso la ejecución de código arbitrario, dependiendo de los permisos del usuario que ejecuta la CLI. El impacto potencial es alto, especialmente en entornos de desarrollo donde se manejan datos sensibles.
Este CVE fue publicado el 2026-03-12. No se ha reportado explotación activa en entornos reales, pero la naturaleza de Path Traversal hace que la vulnerabilidad sea fácilmente explotable. No se encuentra en el KEV de CISA ni se ha asociado con campañas de ataque conocidas. La disponibilidad de un POC público podría aumentar el riesgo de explotación.
Developers and DevOps teams using @tinacms/cli for content management projects are at risk. Specifically, those running older versions of the CLI in development environments are particularly vulnerable, as these environments often have looser security controls than production systems. Shared hosting environments where multiple developers share the same server could also be affected.
• nodejs / server:
# Check for vulnerable @tinacms/cli versions
npm list @tinacms/cli• nodejs / server:
# Monitor access logs for suspicious requests containing '..' sequences
grep "../" /var/log/nginx/access.log• generic web:
# Attempt path traversal via curl
curl http://localhost:4001/media/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 2.1.8 de @tinacms/cli, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a los endpoints de media a través de un firewall o proxy. Además, se pueden implementar reglas de WAF (Web Application Firewall) para bloquear solicitudes que contengan secuencias de escape de ruta maliciosas. Es crucial revisar la configuración del servidor para asegurar que el directorio de medios tenga los permisos adecuados y que no se permita el acceso no autorizado.
Actualice el paquete @tinacms/cli a la versión 2.1.8 o superior. Esto corrige la vulnerabilidad de path traversal que permite la lectura, escritura y eliminación de archivos arbitrarios fuera del directorio de medios configurado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28793 is a Path Traversal vulnerability affecting @tinacms/cli versions before 2.1.8, allowing attackers to read/write arbitrary files.
You are affected if you are using @tinacms/cli versions prior to 2.1.8. Check your installed version with npm list @tinacms/cli.
Upgrade to @tinacms/cli version 2.1.8 or later. Consider WAF rules as a temporary mitigation.
There are currently no known public exploits or active campaigns targeting this vulnerability, but it's crucial to apply the fix.
Refer to the official @tinacms/cli release notes and security advisories on their website or GitHub repository.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.