UNKNOWNCVE-2026-34604
CVE-2026-34604:@tinacms/graphql 目录穿越漏洞
平台
nodejs
组件
@tinacms/graphql
CVE-2026-34604是@tinacms/graphql中的一个漏洞,`FilesystemBridge`使用基于字符串的路径包含检查,但它不解析符号链接或连接点目标。如果符号链接/连接点已经存在于允许的内容根目录下,则仍然可以访问外部文件。这导致`FilesystemBridge.get()`, `put()`, `delete()`和`glob()`可以在预期根目录之外的文件上操作。此漏洞影响≤2.2.0版本,目前没有官方补丁。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-34604是什么?
CVE-2026-34604是@tinacms/graphql中的一个目录穿越漏洞,允许攻击者访问受限文件。
我是否受到CVE-2026-34604的影响?
如果您的@tinacms/graphql版本小于等于2.2.0,则您可能受到此漏洞的影响。
如何修复CVE-2026-34604?
目前没有官方补丁可用。建议限制对文件系统的访问,并避免使用符号链接。