Plataforma
nodejs
Componente
@tinacms/graphql
Corrigido em
2.2.3
2.2.2
A vulnerabilidade CVE-2026-34603 permite path traversal no @tinacms/graphql através de verificações lexicais de caminho nas rotas de mídia de desenvolvimento. A implementação valida apenas a string do caminho e não resolve symlinks ou junctions, permitindo listagem e escrita de mídia fora da raiz. Afeta versões ≤2.2.1. Não há correção oficial disponível.
A vulnerabilidade CVE-2026-34603 em @tinacms/cli permite que um atacante acesse e modifique arquivos fora do diretório de mídia pretendido. Embora verificações de caminho léxico tenham sido implementadas, elas não resolvem corretamente links simbólicos ou junções. Isso significa que, se um link existir dentro do diretório de mídia, o TinaCMS aceitará um caminho como pivot/written-from-media.txt como válido e, em seguida, realizará operações no sistema de arquivos direcionadas a esse link. Isso pode resultar em listagem e acesso de gravação de mídia fora da raiz, comprometendo a segurança do aplicativo. A falta de resolução de link permite que um atacante ignore as proteções de caminho implementadas.
Um atacante pode explorar esta vulnerabilidade criando um link simbólico ou junção dentro do diretório de mídia que aponta para um arquivo fora desse diretório. Ao fornecer um caminho que utilize este link, o atacante pode enganar o TinaCMS para acessar e modificar arquivos fora do diretório de mídia pretendido. A complexidade da exploração depende da capacidade do atacante de criar e manipular links simbólicos ou junções no sistema de arquivos subjacente. A exploração bem-sucedida requer acesso ao sistema de arquivos onde o projeto TinaCMS reside.
TinaCMS deployments using versions of @tinacms/graphql prior to 2.2.2 are at risk. This includes projects utilizing TinaCMS for content management and those relying on the @tinacms/graphql package for media handling. Shared hosting environments where the media directory permissions are not strictly controlled are particularly vulnerable.
• nodejs / server:
npm audit @tinacms/graphql• nodejs / server:
grep -r "funct" /path/to/node_modules/@tinacms/graphql/• generic web: Inspect requests to dev media routes for suspicious path parameters containing '..' or symbolic link references.
disclosure
Status do Exploit
EPSS
0.07% (percentil 23%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-34603 é atualizar para a versão 2.2.2 ou superior de @tinacms/cli. Esta versão inclui uma correção que aborda o problema de não resolver links simbólicos e junções. Além disso, recomenda-se revisar a configuração do seu diretório de mídia para garantir que não existam links simbólicos ou junções que possam ser explorados. Implementar um sistema de permissões robusto para o diretório de mídia também pode ajudar a limitar o impacto de uma possível exploração. Auditorias de segurança regulares são cruciais para identificar e abordar possíveis vulnerabilidades.
Actualice la versión de @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de path traversal en los endpoints de media.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um link simbólico é um tipo de arquivo que aponta para outro arquivo ou diretório. É semelhante a um atalho no Windows.
Uma junção é um tipo de link simbólico usado em sistemas de arquivos de rede. Ele permite acessar arquivos e diretórios em um sistema de arquivos remoto como se estivessem localmente.
Se você estiver usando uma versão do @tinacms/cli anterior à 2.2.2, provavelmente será vulnerável. Você pode verificar sua versão executando npm list @tinacms/cli em seu projeto.
Se você não puder atualizar imediatamente, recomenda-se revisar a configuração do seu diretório de mídia e garantir que não existam links simbólicos ou junções que possam ser explorados. Além disso, considere implementar um sistema de permissões robusto.
É importante manter-se atualizado com as últimas atualizações de segurança do @tinacms/cli e outros pacotes que você usa em seu projeto.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.