平台
nodejs
组件
@tinacms/graphql
修复版本
2.2.3
2.2.2
CVE-2026-34603是@tinacms/graphql中的一个漏洞,@tinacms/cli最近在开发媒体路由中添加了词法路径遍历检查,但该实现仍然只验证路径字符串,而不解析符号链接或连接点目标。如果链接已经存在于媒体根目录下,Tina接受一个路径作为“在”媒体目录中,然后通过该链接目标执行实际的文件系统操作。这允许超出根目录的媒体列表和写入访问权限,并且相同的根本原因也会影响删除。此漏洞影响≤2.2.1版本,目前没有官方补丁。
CVE-2026-34603 在 @tinacms/cli 中允许攻击者访问和修改预期媒体目录之外的文件。虽然已实施词法路径遍历检查,但它们无法正确解析符号链接或连接。这意味着如果媒体目录中存在链接,TinaCMS 将接受 pivot/written-from-media.txt 这样的路径作为有效路径,然后对该链接目标执行文件系统操作。这可能导致根目录之外的媒体列出和写入访问,从而危及应用程序的安全性。 缺少链接解析允许攻击者绕过已实现的路径保护。
攻击者可以通过在媒体目录中创建指向该目录之外的文件的符号链接或连接来利用此漏洞。通过提供使用此链接的路径,攻击者可以欺骗 TinaCMS 访问和修改预期媒体目录之外的文件。利用的复杂性取决于攻击者在底层文件系统中创建和操作符号链接或连接的能力。成功的利用需要访问 TinaCMS 项目所在的的文件系统。
TinaCMS deployments using versions of @tinacms/graphql prior to 2.2.2 are at risk. This includes projects utilizing TinaCMS for content management and those relying on the @tinacms/graphql package for media handling. Shared hosting environments where the media directory permissions are not strictly controlled are particularly vulnerable.
• nodejs / server:
npm audit @tinacms/graphql• nodejs / server:
grep -r "funct" /path/to/node_modules/@tinacms/graphql/• generic web: Inspect requests to dev media routes for suspicious path parameters containing '..' or symbolic link references.
disclosure
漏洞利用状态
EPSS
0.07% (23% 百分位)
CISA SSVC
针对 CVE-2026-34603 的主要缓解措施是将 @tinacms/cli 升级到 2.2.2 或更高版本。此版本包含修复,解决了未解析符号链接和连接的问题。此外,建议审查您的媒体目录配置,以确保不存在可能被利用的符号链接或连接。为媒体目录实施强大的权限系统也可以帮助限制潜在利用的影响。定期进行安全审计对于识别和解决潜在漏洞至关重要。
Actualice la versión de @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de path traversal en los endpoints de media.
漏洞分析和关键警报直接发送到您的邮箱。
符号链接是一种指向另一个文件或目录的文件类型。它类似于 Windows 中的快捷方式。
连接是一种在网络文件系统中使用的一种符号链接。它允许访问远程文件系统上的文件和目录,就好像它们位于本地一样。
如果您使用的是 2.2.2 之前的 @tinacms/cli 版本,则很可能容易受到攻击。您可以通过在项目目录中运行 npm list @tinacms/cli 来检查您的版本。
如果您无法立即更新,建议审查您的媒体目录配置,并确保不存在可能被利用的符号链接或连接。此外,请考虑实施强大的权限系统。
重要的是要随时了解 @tinacms/cli 和您在项目中使用到的其他软件包的最新安全更新。
CVSS 向量