प्लेटफ़ॉर्म
nodejs
घटक
@tinacms/graphql
में ठीक किया गया
2.2.3
2.2.2
CVE-2026-34604 @tinacms/graphql में एक सुरक्षा भेद्यता है जो हमलावरों को इच्छित रूट के बाहर फ़ाइलों तक पहुँचने की अनुमति दे सकती है, खासकर जब सिंबॉलिक लिंक या जंक्शन शामिल हों। यह भेद्यता FilesystemBridge के भीतर पथ सत्यापन की कमजोरियों के कारण उत्पन्न होती है, जो बाहरी फ़ाइलों पर अनधिकृत संचालन की अनुमति देती है। यह भेद्यता @tinacms/graphql के संस्करणों को प्रभावित करती है 2.2.2 से पहले। संस्करण 2.2.2 में इस समस्या का समाधान किया गया है।
CVE-2026-34604 @tinacms/graphql में, एक हमलावर प्रतीकात्मक लिंक (symlink) या जंक्शन के हेरफेर के माध्यम से, अनुमत सामग्री निर्देशिका के बाहर फ़ाइलों तक पहुँच सकता है। पथ सत्यापन प्रणाली स्ट्रिंग तुलना पर आधारित है, प्रतीकात्मक लिंक को हल किए बिना, इसलिए सामग्री रूट निर्देशिका के बाहर की फ़ाइल की ओर इशारा करने वाले पथ को अनुमत सीमाओं के भीतर माना जाता है। इससे संवेदनशील फ़ाइलों को अनधिकृत रूप से पढ़ने या दुर्भावनापूर्ण कोड निष्पादित करने का जोखिम हो सकता है, जो सर्वर अनुमतियों और सुलभ फ़ाइलों पर निर्भर करता है।
एक हमलावर सामग्री निर्देशिका के भीतर एक प्रतीकात्मक लिंक बनाकर इस भेद्यता का फायदा उठा सकता है जो उस निर्देशिका के बाहर की फ़ाइल की ओर इशारा करता है। इस प्रतीकात्मक लिंक वाले पथ को प्रदान करके, TinaCMS पथ सत्यापन प्रणाली पथ को मान्य मानेगी, जिससे हमलावर को बाहरी फ़ाइल तक पहुँचने की अनुमति मिलेगी। इस हमले की प्रभावशीलता फ़ाइल सिस्टम में कॉन्फ़िगर किए गए प्रतीकात्मक लिंक या जंक्शन के अस्तित्व और सर्वर अनुमतियों पर निर्भर करती है।
Applications and websites utilizing @tinacms/graphql for content management and file handling are at risk, particularly those with user-supplied file paths or those running older, unpatched versions of the package. Shared hosting environments where multiple applications share the same file system are also at increased risk.
• nodejs / supply-chain:
npm list @tinacms/graphql• nodejs / supply-chain:
npm audit @tinacms/graphql• generic web:
Inspect incoming requests for unusual path patterns, especially those containing ../ sequences, particularly when dealing with file operations.
• generic web:
Review access logs for requests attempting to access files outside the expected content root directory.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान @tinacms/graphql को संस्करण 2.2.2 या उच्चतर में अपडेट करना है। यह संस्करण पथ सत्यापन करने से पहले प्रतीकात्मक लिंक और जंक्शन को सही ढंग से हल करके इस भेद्यता को ठीक करता है। इसके अतिरिक्त, फ़ाइल और निर्देशिका एक्सेस अनुमतियों को यथासंभव प्रतिबंधात्मक रखने के लिए सर्वर कॉन्फ़िगरेशन की समीक्षा करें, और एक्सेस को केवल आवश्यक उपयोगकर्ताओं और प्रक्रियाओं तक सीमित करें। संवेदनशील फ़ाइलों तक एक्सेस की निगरानी के लिए एक ऑडिट सिस्टम लागू करना भी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में मदद कर सकता है।
Actualice el paquete @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de validación de rutas en FilesystemBridge, evitando el acceso a archivos fuera del directorio raíz permitido mediante el uso de enlaces simbólicos o junctions.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
प्रतीकात्मक लिंक एक फ़ाइल का प्रकार है जो किसी अन्य फ़ाइल या निर्देशिका की ओर इशारा करता है। यह विंडोज में शॉर्टकट के समान है।
जंक्शन विंडोज में प्रतीकात्मक लिंक का एक विशिष्ट प्रकार है जिसका उपयोग फ़ाइल सिस्टम में कहीं और एक निर्देशिका के लिए एक्सेस पॉइंट बनाने के लिए किया जाता है।
अपने package.json फ़ाइल में @tinacms/graphql के संस्करण की जांच करें। यदि संस्करण 2.2.2 से कम है, तो आप एक कमजोर संस्करण का उपयोग कर रहे हैं।
एक अस्थायी उपाय के रूप में, TinaCMS सामग्री निर्देशिका के भीतर प्रतीकात्मक लिंक और जंक्शन के उपयोग को प्रतिबंधित करने पर विचार करें।
ऐसे कई सुरक्षा उपकरण हैं जो संभावित रूप से खतरनाक प्रतीकात्मक लिंक और जंक्शन के लिए आपके फ़ाइल सिस्टम को स्कैन कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।