@tinacms/graphql के मीडिया एंडपॉइंट्स सिंबोलिक लिंक या जंक्शन के माध्यम से मीडिया रूट से बच सकते हैं

## सारांश `@tinacms/cli` ने हाल ही में देव मीडिया मार्गों में लेक्सिकल पाथ-ट्रैवर्सल जांचें जोड़ी हैं, लेकिन कार्यान्वयन अभी भी केवल पाथ स्ट्रिंग को मान्य करता है और सिंबोलिक लिंक या जंक्शन लक्ष्यों को हल नहीं करता है। यदि मीडिया रूट के तहत पहले से ही एक लिंक मौजूद है, तो टीना `pivot/written-from-media.txt` जैसे पाथ को मीडिया निर्देशिका के "अंदर" के रूप में स्वीकार करता है और फिर उस लिंक लक्ष्य के माध्यम से वास्तविक फ़ाइल सिस्टम संचालन करता है। यह रूट से बाहर मीडिया लिस्टिंग और राइट एक्सेस की अनुमति देता है, और समान रूट कारण डिलीट को भी प्रभावित करता है। ## विवरण देव मीडिया हैंडलर उपयोगकर्ता-नियंत्रित पाथ को इस प्रकार मान्य करते हैं: ```ts function resolveWithinBase(userPath: string, baseDir: string): string { const resolvedBase = path.resolve(baseDir); const resolved = path.resolve(path.join(baseDir, userPath)); if (resolved === resolvedBase) { return resolvedBase; } if (resolved.startsWith(resolvedBase + path.sep)) { return resolved; } throw new PathTraversalError(userPath); } function resolveStrictlyWithinBase(userPath: string, baseDir: string): string { const resolvedBase = path.resolve(baseDir) + path.sep; const resolved = path.resolve(path.join(baseDir, userPath)); if (!resolved.startsWith(resolvedB