CVE-2026-34603 in Tina
الملخص
بحسب VulDB • 04/06/2026
Tina هو نظام إدارة محتوى بدون واجهة مستخدم (headless). قبل الإصدار 2.2.2، أضاف @tinacms/cli مؤخرًا فحوصات لتجاوز المسار (path-traversal) في مسارات الوسائط الخاصة بوضع التطوير (dev media routes)، لكن التنفيذ لا يزال يتحقق فقط من سلسلة المسار ولا يحل أهداف الروابط الرمزية (symlinks) أو الروابط الوصلية (junctions). إذا كان الرابط موجودًا بالفعل تحت جذر الوسائط، فإن Tina يقبل مسارًا مثل pivot/written-from-media.txt على أنه "داخل" دليل الوسائط، ثم يقوم بإجراءات حقيقية على نظام الملفات من خلال هدف ذلك الرابط. هذا يسمح بالوصول إلى قائمة الوسائط خارج الجذر (out-of-root) والكتابة، والسبب الجذري نفسه يؤثر أيضًا على الحذف. تم إصلاح هذه المشكلة في الإصدار 2.2.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.