UNKNOWNCVE-2026-34603
CVE-2026-34603:@tinacms/graphql 媒体目录穿越漏洞
平台
nodejs
组件
@tinacms/graphql
CVE-2026-34603是@tinacms/graphql中的一个漏洞,`@tinacms/cli`最近在开发媒体路由中添加了词法路径遍历检查,但该实现仍然只验证路径字符串,而不解析符号链接或连接点目标。如果链接已经存在于媒体根目录下,Tina接受一个路径作为“在”媒体目录中,然后通过该链接目标执行实际的文件系统操作。这允许超出根目录的媒体列表和写入访问权限,并且相同的根本原因也会影响删除。此漏洞影响≤2.2.1版本,目前没有官方补丁。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-34603是什么?
CVE-2026-34603是@tinacms/graphql中的一个媒体目录穿越漏洞,允许攻击者访问和修改受限媒体文件。
我是否受到CVE-2026-34603的影响?
如果您的@tinacms/graphql版本小于等于2.2.1,则您可能受到此漏洞的影响。
如何修复CVE-2026-34603?
目前没有官方补丁可用。建议限制对媒体目录的访问,并避免使用符号链接。