HIGHCVE-2026-34603CVSS 7.1

@tinacms/graphql のメディアエンドポイントは、シンボリックリンクまたはジャンクションを介してメディアルートからエスケープできる

Q: CVE-2026-34603 とは何ですか？（@tinacms/graphql の Path Traversal）

シンボリックリンクは、別のファイルまたはディレクトリを指すファイルの一種です。Windows のショートカットに似ています。

Q: @tinacms/graphql の CVE-2026-34603 による影響を受けていますか？

ジャンクションは、ネットワークファイルシステムで使用されるシンボリックリンクの一種です。リモートファイルシステム上のファイルとディレクトリにローカルのようにアクセスできます。

Q: @tinacms/graphql の CVE-2026-34603 を修正するにはどうすればよいですか？

バージョン 2.2.2 より前の `@tinacms/cli` を使用している場合は、脆弱である可能性があります。プロジェクトで `npm list @tinacms/cli` を実行してバージョンを確認できます。

Q: CVE-2026-34603 は積極的に悪用されていますか？

すぐにアップデートできない場合は、メディアディレクトリの構成を確認し、悪用される可能性のあるシンボリックリンクやジャンクションが存在しないことを確認することをお勧めします。また、堅牢なアクセス許可システムを実装することも検討してください。

Q: CVE-2026-34603 に関する @tinacms/graphql の公式アドバイザリはどこで確認できますか？

プロジェクトで使用している `@tinacms/cli` およびその他のパッケージの最新のセキュリティアップデートを常に把握しておくことが重要です。

プラットフォーム

nodejs

コンポーネント

@tinacms/graphql

修正版

2.2.3

2.2.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

@tinacms/graphqlにパストラバーサルの脆弱性が存在します。この脆弱性を悪用されると、攻撃者はメディアディレクトリ外のファイルへのアクセスや操作が可能になる可能性があります。この問題はバージョン2.2.2で修正されました。影響を受けるのは@tinacms/graphqlを使用しているシステムです。

影響と攻撃シナリオ

CVE-2026-34603 は、@tinacms/cli において、攻撃者が意図されたメディアディレクトリ外のファイルにアクセスし、変更することを可能にします。レキシカルなパス・トラバーサルチェックが実装されているにもかかわらず、これらはシンボリックリンクやジャンクションを正しく解決しません。つまり、メディアディレクトリ内にリンクが存在する場合、TinaCMS は pivot/written-from-media.txt のようなパスを有効として受け入れ、そのリンクのターゲットに対してファイルシステム操作を実行します。これにより、ルート外のメディアのリスト表示と書き込みアクセスが可能になり、アプリケーションのセキュリティが損なわれる可能性があります。リンク解決の欠如により、攻撃者は実装されたパス保護を回避できます。

悪用の状況

攻撃者は、メディアディレクトリ内に、そのディレクトリ外のファイルへのリンクを作成することで、この脆弱性を悪用する可能性があります。このリンクを利用するパスを指定することで、攻撃者は TinaCMS を欺いて、意図されたメディアディレクトリ外のファイルにアクセスし、変更させることができます。悪用の複雑さは、攻撃者が基盤となるファイルシステムでシンボリックリンクやジャンクションを作成および操作する能力に依存します。成功する悪用には、TinaCMS プロジェクトが存在するファイルシステムへのアクセスが必要です。

リスク対象者翻訳中…

TinaCMS deployments using versions of @tinacms/graphql prior to 2.2.2 are at risk. This includes projects utilizing TinaCMS for content management and those relying on the @tinacms/graphql package for media handling. Shared hosting environments where the media directory permissions are not strictly controlled are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm audit @tinacms/graphql

• nodejs / server:

  grep -r "funct" /path/to/node_modules/@tinacms/graphql/

• generic web: Inspect requests to dev media routes for suspicious path parameters containing '..' or symbolic link references.

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.07% (23% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネント@tinacms/graphql

ベンダーosv

影響範囲修正版

< 2.2.2 – < 2.2.22.2.3

—2.2.2

弱点分類 (CWE)

CWE-22 CWE-59

タイムライン

予約済み2026-03-30
公開日2026-04-01
更新日2026-04-06
EPSS 更新日2026-04-09

緩和策と回避策

CVE-2026-34603 の主な軽減策は、@tinacms/cli をバージョン 2.2.2 以降にアップグレードすることです。このバージョンには、シンボリックリンクやジャンクションを解決しない問題を修正する修正が含まれています。さらに、悪用される可能性のあるシンボリックリンクやジャンクションが存在しないように、メディアディレクトリの構成を確認することをお勧めします。メディアディレクトリに対して堅牢なアクセス許可システムを実装することも、潜在的な悪用の影響を制限するのに役立ちます。定期的なセキュリティ監査は、潜在的な脆弱性を特定し、対処するために不可欠です。

修正方法翻訳中…

Actualice la versión de @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de path traversal en los endpoints de media.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34603 とは何ですか？（@tinacms/graphql の Path Traversal）