Platform
nodejs
Component
@tinacms/graphql
Opgelost in
2.2.3
2.2.2
CVE-2026-34603 is een pad traversal kwetsbaarheid in de dev media routes van @tinacms/graphql. Door het niet correct verwerken van symlinks en junctions kan een aanvaller toegang krijgen tot bestanden buiten de beoogde media directory. Dit is opgelost in versie 2.2.2.
CVE-2026-34603 in @tinacms/cli stelt een aanvaller in staat om toegang te krijgen tot en bestanden buiten de beoogde mediamappen te wijzigen. Hoewel lexicale pad-traversal controles zijn geïmplementeerd, lossen deze symbolische links of junctions niet correct op. Dit betekent dat als een link binnen de media map bestaat, TinaCMS een pad zoals pivot/written-from-media.txt als geldig zal accepteren en vervolgens bestandssysteemoperaties uitvoert die gericht zijn op die link. Dit kan leiden tot het weergeven en schrijven van media buiten de root, waardoor de beveiliging van de applicatie in gevaar komt. Het ontbreken van linkresolutie stelt een aanvaller in staat om de geïmplementeerde padbeschermingen te omzeilen.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een symbolische link of junction binnen de media map te creëren die naar een bestand buiten die map verwijst. Door een pad te bieden dat deze link gebruikt, kan de aanvaller TinaCMS misleiden om toegang te krijgen tot en bestanden buiten de beoogde media map te wijzigen. De complexiteit van de exploitatie hangt af van het vermogen van de aanvaller om symbolische links of junctions op het onderliggende bestandssysteem te creëren en te manipuleren. Een succesvolle exploitatie vereist toegang tot het bestandssysteem waar het TinaCMS-project zich bevindt.
TinaCMS deployments using versions of @tinacms/graphql prior to 2.2.2 are at risk. This includes projects utilizing TinaCMS for content management and those relying on the @tinacms/graphql package for media handling. Shared hosting environments where the media directory permissions are not strictly controlled are particularly vulnerable.
• nodejs / server:
npm audit @tinacms/graphql• nodejs / server:
grep -r "funct" /path/to/node_modules/@tinacms/graphql/• generic web: Inspect requests to dev media routes for suspicious path parameters containing '..' or symbolic link references.
disclosure
Exploit Status
EPSS
0.07% (23% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-34603 is het upgraden naar versie 2.2.2 of hoger van @tinacms/cli. Deze versie bevat een correctie die het probleem van het niet oplossen van symbolische links en junctions aanpakt. Daarnaast wordt aanbevolen om de configuratie van uw media map te controleren om ervoor te zorgen dat er geen symbolische links of junctions bestaan die misbruikt kunnen worden. Het implementeren van een robuust permissiesysteem voor de media map kan ook helpen om de impact van een mogelijke exploitatie te beperken. Regelmatige beveiligingsaudits zijn cruciaal om potentiële kwetsbaarheden te identificeren en aan te pakken.
Actualice la versión de @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de path traversal en los endpoints de media.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een symbolische link is een type bestand dat naar een ander bestand of map verwijst. Het lijkt op een snelkoppeling in Windows.
Een junction is een type symbolische link dat wordt gebruikt in netwerksystemen. Het maakt toegang tot bestanden en mappen op een extern bestandssysteem mogelijk, alsof ze zich lokaal bevinden.
Als u een versie van @tinacms/cli gebruikt die ouder is dan 2.2.2, bent u waarschijnlijk kwetsbaar. U kunt uw versie controleren door npm list @tinacms/cli in uw project uit te voeren.
Als u niet onmiddellijk kunt updaten, wordt aanbevolen om de configuratie van uw media map te controleren en ervoor te zorgen dat er geen symbolische links of junctions bestaan die misbruikt kunnen worden. Implementeer ook een robuust permissiesysteem.
Het is belangrijk om op de hoogte te blijven van de nieuwste beveiligingsupdates voor @tinacms/cli en andere pakketten die u in uw project gebruikt.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.