प्लेटफ़ॉर्म
nodejs
घटक
@tinacms/cli
में ठीक किया गया
2.1.9
2.1.8
CVE-2026-28793 @tinacms/cli में एक पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को फ़ाइल सिस्टम पर मनमाना फ़ाइलें पढ़ने और लिखने की अनुमति देती है, जो मीडिया निर्देशिका के बाहर है। यह भेद्यता TinaCMS CLI विकास सर्वर में मीडिया एंडपॉइंट्स के माध्यम से मौजूद है। प्रभावित संस्करण 2.1.8 से पहले हैं, और 2.1.8 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को मीडिया निर्देशिका के बाहर फ़ाइल सिस्टम तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। हमलावर संवेदनशील डेटा को पढ़ सकते हैं, महत्वपूर्ण फ़ाइलों को संशोधित कर सकते हैं, या यहां तक कि सिस्टम पर दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। चूंकि यह भेद्यता CLI विकास सर्वर में मौजूद है, इसलिए इसका उपयोग विकास परिवेशों को लक्षित करने के लिए किया जा सकता है। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता और सेवा व्यवधान हो सकता है। इस भेद्यता का प्रभाव उच्च है क्योंकि इसका शोषण करना अपेक्षाकृत आसान है और इसके गंभीर परिणाम हो सकते हैं।
CVE-2026-28793 को अभी तक KEV में सूचीबद्ध नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। यह भेद्यता 2026-03-12 को प्रकाशित हुई थी।
Developers and DevOps teams using @tinacms/cli for content management projects are at risk. Specifically, those running older versions of the CLI in development environments are particularly vulnerable, as these environments often have looser security controls than production systems. Shared hosting environments where multiple developers share the same server could also be affected.
• nodejs / server:
# Check for vulnerable @tinacms/cli versions
npm list @tinacms/cli• nodejs / server:
# Monitor access logs for suspicious requests containing '..' sequences
grep "../" /var/log/nginx/access.log• generic web:
# Attempt path traversal via curl
curl http://localhost:4001/media/../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVE-2026-28793 को कम करने के लिए, @tinacms/cli को संस्करण 2.1.8 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, मीडिया निर्देशिका के बाहर फ़ाइलों तक पहुंच को प्रतिबंधित करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। सुनिश्चित करें कि मीडिया एंडपॉइंट्स को केवल विश्वसनीय स्रोतों से अनुरोधों को स्वीकार करने के लिए कॉन्फ़िगर किया गया है। इसके अतिरिक्त, फ़ाइल अपलोड और प्रोसेसिंग के दौरान इनपुट सत्यापन और सैनिटाइजेशन लागू करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, मीडिया एंडपॉइंट्स पर पथ पारगमन हमलों का परीक्षण करें।
Actualice el paquete @tinacms/cli a la versión 2.1.8 o superior. Esto corrige la vulnerabilidad de path traversal que permite la lectura, escritura y eliminación de archivos arbitrarios fuera del directorio de medios configurado.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-28793 @tinacms/cli में एक भेद्यता है जो हमलावरों को फ़ाइल सिस्टम पर मनमाना फ़ाइलें पढ़ने और लिखने की अनुमति देती है।
यदि आप @tinacms/cli के संस्करण 2.1.8 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
@tinacms/cli को संस्करण 2.1.8 या बाद के संस्करण में अपडेट करें।
CVE-2026-28793 का सक्रिय शोषण अभी तक ज्ञात नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
कृपया @tinacms की वेबसाइट या उनके सुरक्षा सलाहकार अनुभाग पर जाएँ।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।