प्लेटफ़ॉर्म
nodejs
घटक
@tinacms/graphql
में ठीक किया गया
2.2.3
2.2.2
CVE-2026-34603, @tinacms/graphql में एक पाथ ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावरों को मीडिया रूट के बाहर फ़ाइलों को सूचीबद्ध करने और लिखने की अनुमति देती है। यह भेद्यता उन प्रणालियों को प्रभावित करती है जो @tinacms/graphql का उपयोग करती हैं। इस समस्या को संस्करण 2.2.2 में ठीक किया गया है।
CVE-2026-34603 @tinacms/cli में एक हमलावर को इच्छित मीडिया निर्देशिका के बाहर फ़ाइलों तक पहुंचने और उन्हें संशोधित करने की अनुमति देता है। यद्यपि लेक्सिकल पथ-ट्रावर्सल जांच लागू की गई है, वे प्रतीकात्मक लिंक या जंक्शन को सही ढंग से हल नहीं करते हैं। इसका मतलब है कि यदि मीडिया निर्देशिका के भीतर कोई लिंक मौजूद है, तो TinaCMS pivot/written-from-media.txt जैसे पथ को मान्य के रूप में स्वीकार करेगा और फिर उस लिंक के लक्ष्य के विरुद्ध फ़ाइल सिस्टम ऑपरेशन करेगा। इससे रूट के बाहर मीडिया लिस्टिंग और लेखन पहुंच हो सकती है, जिससे एप्लिकेशन की सुरक्षा से समझौता हो सकता है। लिंक रिज़ॉल्यूशन की कमी हमलावर को लागू पथ सुरक्षा को बायपास करने की अनुमति देती है।
एक हमलावर इस भेद्यता का शोषण मीडिया निर्देशिका के भीतर एक प्रतीकात्मक लिंक या जंक्शन बनाकर कर सकता है जो उस निर्देशिका के बाहर की फ़ाइल की ओर इशारा करता है। इस लिंक का उपयोग करने वाले पथ को प्रदान करके, हमलावर TinaCMS को धोखा दे सकता है ताकि वह इच्छित मीडिया निर्देशिका के बाहर फ़ाइलों तक पहुंच सके और उन्हें संशोधित कर सके। शोषण की जटिलता हमलावर की अंतर्निहित फ़ाइल सिस्टम पर प्रतीकात्मक लिंक या जंक्शन बनाने और हेरफेर करने की क्षमता पर निर्भर करती है। सफल शोषण के लिए TinaCMS प्रोजेक्ट के स्थान पर फ़ाइल सिस्टम तक पहुंच की आवश्यकता होती है।
TinaCMS deployments using versions of @tinacms/graphql prior to 2.2.2 are at risk. This includes projects utilizing TinaCMS for content management and those relying on the @tinacms/graphql package for media handling. Shared hosting environments where the media directory permissions are not strictly controlled are particularly vulnerable.
• nodejs / server:
npm audit @tinacms/graphql• nodejs / server:
grep -r "funct" /path/to/node_modules/@tinacms/graphql/• generic web: Inspect requests to dev media routes for suspicious path parameters containing '..' or symbolic link references.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (23% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34603 के लिए प्राथमिक शमन @tinacms/cli को संस्करण 2.2.2 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो प्रतीकात्मक लिंक और जंक्शन को हल नहीं करने की समस्या को संबोधित करता है। इसके अतिरिक्त, यह अनुशंसा की जाती है कि अपने मीडिया निर्देशिका कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित हो सके कि कोई प्रतीकात्मक लिंक या जंक्शन मौजूद नहीं है जिसका दुरुपयोग किया जा सकता है। मीडिया निर्देशिका के लिए एक मजबूत अनुमति प्रणाली को लागू करना भी संभावित शोषण के प्रभाव को सीमित करने में मदद कर सकता है। संभावित कमजोरियों की पहचान करने और उनका समाधान करने के लिए नियमित सुरक्षा ऑडिट महत्वपूर्ण हैं।
Actualice la versión de @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de path traversal en los endpoints de media.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
एक प्रतीकात्मक लिंक एक फ़ाइल का प्रकार है जो किसी अन्य फ़ाइल या निर्देशिका की ओर इशारा करता है। यह Windows में एक शॉर्टकट के समान है।
एक जंक्शन एक प्रकार का प्रतीकात्मक लिंक है जिसका उपयोग नेटवर्क फ़ाइल सिस्टम में किया जाता है। यह एक दूरस्थ फ़ाइल सिस्टम पर फ़ाइलों और निर्देशिकाओं तक स्थानीय रूप से पहुंचने की अनुमति देता है।
यदि आप @tinacms/cli के 2.2.2 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप कमजोर होने की संभावना है। आप अपने प्रोजेक्ट में npm list @tinacms/cli चलाकर अपना संस्करण जांच सकते हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अपने मीडिया निर्देशिका कॉन्फ़िगरेशन की समीक्षा करने और यह सुनिश्चित करने की अनुशंसा की जाती है कि कोई प्रतीकात्मक लिंक या जंक्शन मौजूद नहीं है जिसका दुरुपयोग किया जा सकता है। इसके अतिरिक्त, एक मजबूत अनुमति प्रणाली को लागू करने पर विचार करें।
अपने प्रोजेक्ट में आप जिन पैकेजों का उपयोग करते हैं उनके लिए नवीनतम सुरक्षा अपडेट के बारे में हमेशा अपडेट रहना महत्वपूर्ण है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।