Plataforma
nodejs
Componente
@tinacms/cli
Corrigido em
2.1.9
2.1.8
A vulnerabilidade CVE-2026-28793 é um Path Traversal encontrado no @tinacms/cli, uma ferramenta de linha de comando para desenvolvimento com TinaCMS. Esta falha permite que atacantes leiam e escrevam arquivos arbitrários fora do diretório de mídia pretendido, comprometendo a integridade do sistema. A vulnerabilidade afeta versões anteriores a 2.1.8 e foi publicada em 12 de março de 2026. A atualização para a versão 2.1.8 resolve o problema.
Um atacante pode explorar esta vulnerabilidade manipulando os parâmetros nas requisições para os endpoints de mídia do servidor de desenvolvimento do TinaCMS. Ao injetar sequências de Path Traversal (como '../') nos caminhos, o atacante pode escapar do diretório de mídia configurado e acessar arquivos sensíveis em outros locais do sistema de arquivos. Isso pode levar à exposição de informações confidenciais, como chaves de API, senhas ou dados de configuração, ou até mesmo permitir a modificação ou exclusão de arquivos críticos do sistema. A extensão do dano potencial depende dos privilégios do usuário que executa o CLI e da sensibilidade dos arquivos acessíveis.
A vulnerabilidade foi divulgada publicamente em 12 de março de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração.
Developers and DevOps teams using @tinacms/cli for content management projects are at risk. Specifically, those running older versions of the CLI in development environments are particularly vulnerable, as these environments often have looser security controls than production systems. Shared hosting environments where multiple developers share the same server could also be affected.
• nodejs / server:
# Check for vulnerable @tinacms/cli versions
npm list @tinacms/cli• nodejs / server:
# Monitor access logs for suspicious requests containing '..' sequences
grep "../" /var/log/nginx/access.log• generic web:
# Attempt path traversal via curl
curl http://localhost:4001/media/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o @tinacms/cli para a versão 2.1.8 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar regras de Web Application Firewall (WAF) para filtrar requisições maliciosas que contenham sequências de Path Traversal. Além disso, restrinja o acesso ao servidor de desenvolvimento apenas a usuários confiáveis e monitore os logs do servidor em busca de atividades suspeitas. Verifique, após a atualização, se os endpoints de mídia estão corretamente protegidos e não permitem acesso a arquivos fora do diretório esperado.
Actualice el paquete @tinacms/cli a la versión 2.1.8 o superior. Esto corrige la vulnerabilidad de path traversal que permite la lectura, escritura y eliminación de archivos arbitrarios fuera del directorio de medios configurado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Path Traversal no @tinacms/cli que permite a leitura e escrita de arquivos arbitrários, afetando versões anteriores a 2.1.8.
Sim, se você estiver utilizando uma versão do @tinacms/cli anterior a 2.1.8, você está vulnerável a esta falha.
Atualize o @tinacms/cli para a versão 2.1.8 ou superior. Implemente regras de WAF como medida temporária.
Não há informações confirmadas sobre exploração ativa no momento, mas a existência de um PoC aumenta o risco.
Consulte o site oficial do TinaCMS ou o repositório do @tinacms/cli no GitHub para obter informações e atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.