CVE-2026-34604: Path Traversal en @tinacms/graphql ≤2.2.0
Plataforma
nodejs
Componente
@tinacms/graphql
CVE-2026-34604 es una vulnerabilidad de Path Traversal en `@tinacms/graphql` que utiliza comprobaciones de contención de rutas basadas en cadenas en `FilesystemBridge`. Esto permite que `get()`, `put()`, `delete()` y `glob()` operen en archivos fuera del directorio raíz previsto a través de symlinks o junctions. Afecta a versiones ≤2.2.0. No hay parche oficial disponible.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-34604?
CVE-2026-34604 es una vulnerabilidad de Path Traversal en `@tinacms/graphql` que permite el acceso a archivos fuera del directorio raíz configurado mediante el uso de symlinks o junctions.
¿Estoy afectado por CVE-2026-34604?
Es probable que esté afectado si está utilizando `@tinacms/graphql` en una versión inferior o igual a 2.2.0 y permite la manipulación de rutas de archivos por parte del usuario.
¿Cómo puedo solucionar o mitigar CVE-2026-34604?
Actualmente no hay un parche oficial disponible. Como medida de mitigación, evite el uso de symlinks o junctions dentro del directorio raíz de contenido y valide las rutas de archivos proporcionadas por el usuario.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis