De media-endpoints van @tinacms/graphql kunnen ontsnappen aan de media-root via symlinks of junctions

## Samenvatting `@tinacms/cli` heeft recentelijk lexicale pad-traversal controles toegevoegd aan de dev media routes, maar de implementatie valideert nog steeds alleen de pad-string en lost geen symlink- of junction-targets op. Als een link al bestaat onder de media-root, accepteert Tina een pad zoals `pivot/written-from-media.txt` als "binnen" de media-directory en voert vervolgens echte bestandsysteemoperaties uit via dat link-target. Dit staat media-listing en schrijftoegang buiten de root toe, en dezelfde hoofdoorzaak beïnvloedt ook het verwijderen. ## Details De dev media handlers valideren door de gebruiker beheerde paden met: ```ts function resolveWithinBase(userPath: string, baseDir: string): string { const resolvedBase = path.resolve(baseDir); const resolved = path.resolve(path.join(baseDir, userPath)); if (resolved === resolvedBase) { return resolvedBase; } if (resolved.startsWith(resolvedBase + path.sep)) { return resolved; } throw new PathTraversalError(userPath); } function resolveStrictlyWithinBase(userPath: string, baseDir: string): string { const resolvedBase = path.resolve(baseDir) + path.sep; const resolved = path.resolve(path.join(baseDir, userPath)); if (!resolved.startsWith(resolvedB