平台
nodejs
组件
@tinacms/graphql
修复版本
2.2.3
2.2.2
CVE-2026-34604是@tinacms/graphql中的一个漏洞,FilesystemBridge使用基于字符串的路径包含检查,但它不解析符号链接或连接点目标。如果符号链接/连接点已经存在于允许的内容根目录下,则仍然可以访问外部文件。这导致FilesystemBridge.get(), put(), delete()和glob()可以在预期根目录之外的文件上操作。此漏洞影响≤2.2.0版本,目前没有官方补丁。
CVE-2026-34604 在 @tinacms/graphql 中,允许攻击者通过操纵符号链接(symlink)或联合(junction),访问允许内容目录之外的文件。路径验证系统基于字符串比较,而不解析符号链接,因此将指向内容根目录之外的文件的路径视为在允许边界内。这可能导致未经授权读取敏感文件或执行恶意代码,具体取决于服务器权限和可访问的文件。
攻击者可以通过在内容目录中创建一个指向该目录之外的文件的符号链接来利用此漏洞。通过提供包含此符号链接的路径,TinaCMS 路径验证系统会将路径视为有效,从而允许攻击者访问外部文件。此攻击的有效性取决于文件系统中配置的符号链接或联合的存在以及服务器的权限。
Applications and websites utilizing @tinacms/graphql for content management and file handling are at risk, particularly those with user-supplied file paths or those running older, unpatched versions of the package. Shared hosting environments where multiple applications share the same file system are also at increased risk.
• nodejs / supply-chain:
npm list @tinacms/graphql• nodejs / supply-chain:
npm audit @tinacms/graphql• generic web:
Inspect incoming requests for unusual path patterns, especially those containing ../ sequences, particularly when dealing with file operations.
• generic web:
Review access logs for requests attempting to access files outside the expected content root directory.
disclosure
漏洞利用状态
EPSS
0.08% (23% 百分位)
CISA SSVC
建议的解决方案是升级到 @tinacms/graphql 的 2.2.2 或更高版本。此版本通过在执行路径验证之前正确解析符号链接和联合来修复此漏洞。此外,请审查服务器配置,以确保文件和目录访问权限尽可能严格,仅将访问限制为必要的用户和进程。实施审计系统以监控对敏感文件的访问也可以帮助检测和响应潜在攻击。
Actualice el paquete @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de validación de rutas en FilesystemBridge, evitando el acceso a archivos fuera del directorio raíz permitido mediante el uso de enlaces simbólicos o junctions.
漏洞分析和关键警报直接发送到您的邮箱。
符号链接是一种指向另一个文件或目录的文件类型。它类似于 Windows 中的快捷方式。
联合是 Windows 中一种特定的符号链接类型,用于创建文件系统中的另一个位置的目录的访问点。
检查 package.json 文件中 @tinacms/graphql 的版本。如果版本小于 2.2.2,则您正在使用易受攻击的版本。
作为临时措施,请考虑限制 TinaCMS 内容目录中符号链接和联合的使用。
有几种安全工具可以扫描您的文件系统,查找潜在的危险符号链接和联合。
CVSS 向量