Platform
nodejs
Component
@tinacms/graphql
Opgelost in
2.2.3
2.2.2
CVE-2026-34604 is een pad traversal kwetsbaarheid in @tinacms/graphql. Door het niet correct verwerken van symlinks en junctions kan een aanvaller toegang krijgen tot bestanden buiten de beoogde root directory. Dit is opgelost in versie 2.2.2.
CVE-2026-34604 in @tinacms/graphql stelt een aanvaller in staat, via manipulatie van symbolische links (symlinks) of junctions, toegang te krijgen tot bestanden buiten de toegestane content directory. Het padvalidatiesysteem, dat gebaseerd is op stringvergelijking zonder de symbolische links op te lossen, beschouwt een pad dat naar een bestand buiten de content root directory wijst, als binnen de toegestane grenzen. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden of de uitvoering van kwaadaardige code, afhankelijk van de serverrechten en toegankelijke bestanden.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een symbolische link binnen de content directory te creëren die naar een bestand buiten die directory wijst. Door een pad te verstrekken dat deze symbolische link bevat, zou het TinaCMS-padvalidatiesysteem het pad als geldig beschouwen, waardoor de aanvaller toegang krijgt tot het externe bestand. De effectiviteit van deze aanval hangt af van het bestaan van geconfigureerde symbolische links of junctions in het bestandssysteem en de serverrechten.
Applications and websites utilizing @tinacms/graphql for content management and file handling are at risk, particularly those with user-supplied file paths or those running older, unpatched versions of the package. Shared hosting environments where multiple applications share the same file system are also at increased risk.
• nodejs / supply-chain:
npm list @tinacms/graphql• nodejs / supply-chain:
npm audit @tinacms/graphql• generic web:
Inspect incoming requests for unusual path patterns, especially those containing ../ sequences, particularly when dealing with file operations.
• generic web:
Review access logs for requests attempting to access files outside the expected content root directory.
disclosure
Exploit Status
EPSS
0.08% (23% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om te upgraden naar versie 2.2.2 of hoger van @tinacms/graphql. Deze versie lost de kwetsbaarheid op door symbolische links en junctions correct op te lossen voordat de padvalidatie wordt uitgevoerd. Controleer bovendien de serverconfiguratie om ervoor te zorgen dat de bestandstoegangsrechten zo restrictief mogelijk zijn en de toegang wordt beperkt tot de noodzakelijke gebruikers en processen. Het implementeren van een auditsysteem om de toegang tot gevoelige bestanden te bewaken, kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice el paquete @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de validación de rutas en FilesystemBridge, evitando el acceso a archivos fuera del directorio raíz permitido mediante el uso de enlaces simbólicos o junctions.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een symbolische link is een type bestand dat naar een ander bestand of directory wijst. Het is vergelijkbaar met een snelkoppeling in Windows.
Een junction is een specifiek type symbolische link in Windows dat wordt gebruikt om een toegangspunt naar een directory elders in het bestandssysteem te creëren.
Controleer de versie van @tinacms/graphql in uw package.json-bestand. Als deze kleiner is dan 2.2.2, gebruikt u een kwetsbare versie.
Als tijdelijke maatregel moet u het gebruik van symbolische links en junctions binnen de TinaCMS-content directory beperken.
Er zijn verschillende beveiligingstools die uw bestandssysteem kunnen scannen op potentieel gevaarlijke symbolische links en junctions.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.