免费扫描
HIGHCVE-2026-34604CVSS 7.1

CVE-2026-34604:@tinacms/graphql 目录穿越漏洞

平台

nodejs

组件

@tinacms/graphql

修复版本

2.2.3

2.2.2

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年4月
在NVD查看
保存

CVE-2026-34604是@tinacms/graphql中的一个漏洞,FilesystemBridge使用基于字符串的路径包含检查,但它不解析符号链接或连接点目标。如果符号链接/连接点已经存在于允许的内容根目录下,则仍然可以访问外部文件。这导致FilesystemBridge.get(), put(), delete()glob()可以在预期根目录之外的文件上操作。此漏洞影响≤2.2.0版本,目前没有官方补丁。

影响与攻击场景

CVE-2026-34604 在 @tinacms/graphql 中,允许攻击者通过操纵符号链接(symlink)或联合(junction),访问允许内容目录之外的文件。路径验证系统基于字符串比较,而不解析符号链接,因此将指向内容根目录之外的文件的路径视为在允许边界内。这可能导致未经授权读取敏感文件或执行恶意代码,具体取决于服务器权限和可访问的文件。

利用背景

攻击者可以通过在内容目录中创建一个指向该目录之外的文件的符号链接来利用此漏洞。通过提供包含此符号链接的路径,TinaCMS 路径验证系统会将路径视为有效,从而允许攻击者访问外部文件。此攻击的有效性取决于文件系统中配置的符号链接或联合的存在以及服务器的权限。

哪些人处于风险中翻译中…

Applications and websites utilizing @tinacms/graphql for content management and file handling are at risk, particularly those with user-supplied file paths or those running older, unpatched versions of the package. Shared hosting environments where multiple applications share the same file system are also at increased risk.

检测步骤翻译中…

• nodejs / supply-chain:

  npm list @tinacms/graphql

• nodejs / supply-chain:

  npm audit @tinacms/graphql

• generic web: Inspect incoming requests for unusual path patterns, especially those containing ../ sequences, particularly when dealing with file operations. • generic web: Review access logs for requests attempting to access files outside the expected content root directory.

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告1 份威胁报告

EPSS

0.08% (23% 百分位)

CISA SSVC

利用情况poc
可自动化no
技术影响total

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L7.1HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityHigh利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityLow服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
高 — 需要竞态条件、非默认配置或特定情况。难以可靠利用。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
低 — 部分或间歇性拒绝服务。

受影响的软件

组件@tinacms/graphql
供应商osv
影响范围修复版本
< 2.2.2 – < 2.2.22.2.3
2.2.2

弱点分类 (CWE)

CWE-22CWE-59

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

建议的解决方案是升级到 @tinacms/graphql 的 2.2.2 或更高版本。此版本通过在执行路径验证之前正确解析符号链接和联合来修复此漏洞。此外,请审查服务器配置,以确保文件和目录访问权限尽可能严格,仅将访问限制为必要的用户和进程。实施审计系统以监控对敏感文件的访问也可以帮助检测和响应潜在攻击。

修复方法翻译中…

Actualice el paquete @tinacms/graphql a la versión 2.2.2 o superior. Esto corrige la vulnerabilidad de validación de rutas en FilesystemBridge, evitando el acceso a archivos fuera del directorio raíz permitido mediante el uso de enlaces simbólicos o junctions.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34604 是什么 — @tinacms/graphql 中的 Path Traversal?

符号链接是一种指向另一个文件或目录的文件类型。它类似于 Windows 中的快捷方式。

@tinacms/graphql 中的 CVE-2026-34604 是否会影响我?

联合是 Windows 中一种特定的符号链接类型,用于创建文件系统中的另一个位置的目录的访问点。

如何修复 @tinacms/graphql 中的 CVE-2026-34604?

检查 package.json 文件中 @tinacms/graphql 的版本。如果版本小于 2.2.2,则您正在使用易受攻击的版本。

CVE-2026-34604 是否正在被积极利用?

作为临时措施,请考虑限制 TinaCMS 内容目录中符号链接和联合的使用。

在哪里可以找到 @tinacms/graphql 关于 CVE-2026-34604 的官方安全通告?

有几种安全工具可以扫描您的文件系统,查找潜在的危险符号链接和联合。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE