CVE-2026-34604 in Tinaالمعلومات

الملخص

بحسب VulDB • 09/05/2026

Tina هو نظام إدارة محتوى بدون واجهة مستخدم (headless). قبل الإصدار 2.2.2، كان @tinacms/graphql يستخدم فحوصات احتواء المسار القائمة على السلاسل النصية في FilesystemBridge. وهذا يمنع التمرير البسيط باستخدام ../، لكنه لا يحل أهداف الروابط الرمزية (symlinks) أو الروابط الوصلية (junctions). إذا كان الرابط الرمزي أو الوصلية موجودًا بالفعل تحت الجذر المسموح به للمحتوى، فإن مسارًا مثل content/posts/pivot/owned.md لا يزال يُعتبر "داخل" الجذر الأساسي، حتى لو كان الهدف الفعلي في نظام الملفات خارج هذا النطاق. ونتيجة لذلك، يمكن لـ FilesystemBridge.get() وput() وdelete() وglob() العمل على ملفات خارج الجذر المقصود. تم إصلاح هذه المشكلة في الإصدار 2.2.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

30/03/2026

إفشاء

01/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354711

EPSS

0.00372

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!