Platform
nodejs
Component
@tinacms/cli
Opgelost in
2.1.9
2.1.8
Deze kwetsbaarheid, aangeduid als CVE-2026-28793, is een Path Traversal kwetsbaarheid in de @tinacms/cli development server. Door onvoldoende validatie van gebruikersinvoer kunnen aanvallers bestanden buiten de beoogde media directory lezen en schrijven. De kwetsbaarheid treft versies van @tinacms/cli die ouder zijn dan 2.1.8. Een patch is beschikbaar in versie 2.1.8.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het bestandssysteem te lezen en te schrijven, buiten de geconfigureerde media directory. Dit kan leiden tot het compromitteren van gevoelige gegevens, het uitvoeren van schadelijke code of het verkrijgen van controle over het systeem. De kwetsbaarheid ontstaat doordat de decodeURI() en path.join() functies worden gebruikt om gebruikersinvoer te verwerken zonder adequate validatie, waardoor een aanvaller paden kan manipuleren om bestanden buiten de media directory te benaderen. De impact is aanzienlijk, aangezien een aanvaller potentieel toegang kan krijgen tot configuratiebestanden, broncode of andere gevoelige informatie.
Op dit moment (2026-03-12) zijn er geen bekende actieve campagnes die deze kwetsbaarheid exploiteren. Er zijn ook geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de CISA KEV catalogus is nog niet bijgewerkt. De ernst van de kwetsbaarheid is hoog, wat aangeeft dat er een aanzienlijke kans is dat deze in de toekomst wordt misbruikt.
Developers and DevOps teams using @tinacms/cli for content management projects are at risk. Specifically, those running older versions of the CLI in development environments are particularly vulnerable, as these environments often have looser security controls than production systems. Shared hosting environments where multiple developers share the same server could also be affected.
• nodejs / server:
# Check for vulnerable @tinacms/cli versions
npm list @tinacms/cli• nodejs / server:
# Monitor access logs for suspicious requests containing '..' sequences
grep "../" /var/log/nginx/access.log• generic web:
# Attempt path traversal via curl
curl http://localhost:4001/media/../../../../etc/passwddisclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 2.1.8 of hoger van @tinacms/cli. Als een upgrade onmiddellijk niet mogelijk is, overweeg dan om de toegang tot de media endpoints te beperken via een firewall of reverse proxy. Configureer de reverse proxy om de toegestane paden te beperken tot de media directory. Het implementeren van een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren kan ook een extra beveiligingslaag bieden. Controleer de configuratie van de TinaCMS development server om er zeker van te zijn dat de media directory correct is gedefinieerd en beveiligd.
Actualice el paquete @tinacms/cli a la versión 2.1.8 o superior. Esto corrige la vulnerabilidad de path traversal que permite la lectura, escritura y eliminación de archivos arbitrarios fuera del directorio de medios configurado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28793 is a Path Traversal vulnerability affecting @tinacms/cli versions before 2.1.8, allowing attackers to read/write arbitrary files.
You are affected if you are using @tinacms/cli versions prior to 2.1.8. Check your installed version with npm list @tinacms/cli.
Upgrade to @tinacms/cli version 2.1.8 or later. Consider WAF rules as a temporary mitigation.
There are currently no known public exploits or active campaigns targeting this vulnerability, but it's crucial to apply the fix.
Refer to the official @tinacms/cli release notes and security advisories on their website or GitHub repository.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.