Plataforma
nodejs
Componente
@tinacms/graphql
Corrigido em
2.2.3
2.2.2
A vulnerabilidade CVE-2026-34604 permite path traversal no @tinacms/graphql através de verificações de contenção de caminho baseadas em string no FilesystemBridge. Isso permite que as funções get(), put(), delete() e glob() operem em arquivos fora do diretório raiz pretendido, explorando symlinks ou junctions. Afeta versões ≤2.2.0. Não há correção oficial disponível.
A vulnerabilidade CVE-2026-34604 em @tinacms/graphql permite que um atacante, através da manipulação de links simbólicos (symlinks) ou junções, acesse arquivos fora do diretório de conteúdo permitido. O sistema de verificação de caminhos, que se baseia na comparação de strings sem resolver os links simbólicos, considera que um caminho que aponta para um arquivo fora do diretório raiz do conteúdo está dentro dos limites permitidos. Isso pode resultar na leitura não autorizada de arquivos sensíveis ou na execução de código malicioso, dependendo das permissões do servidor e dos arquivos acessíveis.
Um atacante poderia explorar esta vulnerabilidade criando um link simbólico dentro do diretório de conteúdo que aponta para um arquivo fora desse diretório. Ao fornecer um caminho que inclua este link simbólico, o sistema de validação de caminho do TinaCMS consideraria o caminho válido, permitindo ao atacante acessar o arquivo externo. A eficácia deste ataque depende da existência de links simbólicos ou junções configurados no sistema de arquivos e das permissões do servidor.
Applications and websites utilizing @tinacms/graphql for content management and file handling are at risk, particularly those with user-supplied file paths or those running older, unpatched versions of the package. Shared hosting environments where multiple applications share the same file system are also at increased risk.
• nodejs / supply-chain:
npm list @tinacms/graphql• nodejs / supply-chain:
npm audit @tinacms/graphql• generic web:
Inspect incoming requests for unusual path patterns, especially those containing ../ sequences, particularly when dealing with file operations.
• generic web:
Review access logs for requests attempting to access files outside the expected content root directory.
disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar para a versão 2.2.2 ou superior de @tinacms/graphql. Esta versão corrige a vulnerabilidade ao resolver corretamente os links simbólicos e as junções antes de realizar a verificação do caminho. Além disso, recomenda-se revisar a configuração do servidor para garantir que as permissões de acesso aos arquivos e diretórios sejam o mais restritivas possível, limitando o acesso apenas aos usuários e processos que o necessitem. Implementar um sistema de auditoria para monitorar o acesso aos arquivos sensíveis também pode ajudar a detectar e responder a possíveis ataques.
Actualice el paquete @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de validación de rutas en FilesystemBridge, evitando el acceso a archivos fuera del directorio raíz permitido mediante el uso de enlaces simbólicos o junctions.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um link simbólico é um tipo de arquivo que aponta para outro arquivo ou diretório. É semelhante a um atalho no Windows.
Uma junção é um tipo específico de link simbólico no Windows usado para criar um ponto de acesso a um diretório em outro lugar no sistema de arquivos.
Verifique a versão de @tinacms/graphql no seu arquivo package.json. Se for inferior a 2.2.2, você está usando uma versão vulnerável.
Como medida temporária, considere restringir o uso de links simbólicos e junções dentro do diretório de conteúdo do TinaCMS.
Existem várias ferramentas de segurança que podem escanear seu sistema de arquivos em busca de links simbólicos e junções potencialmente perigosos.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.