प्लेटफ़ॉर्म
nodejs
घटक
tinacms
में ठीक किया गया
2.1.8
2.1.7
एक पथ पारगमन भेद्यता (@tinacms/cli में) की खोज की गई है, जो हमलावरों को अनधिकृत फ़ाइलों तक पहुंचने और संशोधित करने की अनुमति दे सकती है। यह भेद्यता @tinacms/cli के संस्करण 2.0.5 को प्रभावित करती है। कोड में उचित सत्यापन के बिना पथों को संयोजित करने की त्रुटि के कारण यह समस्या उत्पन्न होती है। संस्करण 2.1.7 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को TinaCMS विकास सर्वर के मीडिया अपलोड हैंडलर के माध्यम से मनमाना फ़ाइलें लिखने की अनुमति देती है। हमलावर मीडिया निर्देशिका के बाहर फ़ाइलों को लक्षित कर सकते हैं, जिससे सिस्टम पर महत्वपूर्ण प्रभाव पड़ सकता है। वे संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, सिस्टम कॉन्फ़िगरेशन को बदल सकते हैं, या यहां तक कि दुर्भावनापूर्ण कोड भी निष्पादित कर सकते हैं। इस भेद्यता का शोषण करने से सिस्टम की सुरक्षा से समझौता हो सकता है और अनधिकृत पहुंच हो सकती है।
इस भेद्यता के बारे में सार्वजनिक जानकारी सीमित है, लेकिन पथ पारगमन भेद्यताएँ अक्सर शोषण की जाती हैं। यह भेद्यता Node.js वातावरण में मौजूद है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन संभावित शोषण के लिए जोखिम बना रहता है। CISA या KEV में अभी तक इस CVE को शामिल नहीं किया गया है।
Development teams utilizing @tinacms/cli for content management system development are at immediate risk. Specifically, those using versions 2.0.5 or earlier, and those running the development server in environments with inadequate file system permissions, are particularly vulnerable. Shared hosting environments where the development server might be accessible from the public internet are also at heightened risk.
• nodejs / server:
npm list @tinacms/cli• nodejs / server:
grep -r "path.join()" packages/@tinacms/cli/src/next/commands/dev-command/server/media.ts• generic web:
Inspect media upload endpoints for unusual file paths in request parameters. Monitor access logs for requests containing path traversal sequences (e.g., ../).
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
भेद्यता को कम करने के लिए, @tinacms/cli को संस्करण 2.1.7 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, मीडिया अपलोड निर्देशिका तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों को लागू किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। सुनिश्चित करें कि मीडिया अपलोड के लिए इनपुट सत्यापन और फ़ाइल पथ सैनिटाइजेशन लागू किया गया है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, मीडिया अपलोड फ़ंक्शन का परीक्षण करके और अनधिकृत फ़ाइल लेखन के प्रयासों की निगरानी करके।
Actualice TinaCMS a la versión 2.1.7 o superior. Esta versión corrige la vulnerabilidad de path traversal en el manejo de la carga de medios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-28791 @tinacms/cli के संस्करण 2.0.5 में एक पथ पारगमन भेद्यता है, जो हमलावरों को मीडिया निर्देशिका के बाहर फ़ाइलें लिखने की अनुमति देती है।
यदि आप @tinacms/cli के संस्करण 2.0.5 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-28791 को ठीक करने के लिए, @tinacms/cli को संस्करण 2.1.7 में अपग्रेड करें।
हालांकि सार्वजनिक शोषण की पुष्टि नहीं हुई है, लेकिन संभावित शोषण के लिए जोखिम बना रहता है।
कृपया @tinacms की वेबसाइट पर जाएं या उनके सुरक्षा सलाहकार अनुभाग देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।