CVE-2026-34604 in Tina
الملخص
بحسب VulDB • 09/05/2026
Tina هو نظام إدارة محتوى بدون واجهة مستخدم (headless). قبل الإصدار 2.2.2، كان @tinacms/graphql يستخدم فحوصات احتواء المسار القائمة على السلاسل النصية في FilesystemBridge. وهذا يمنع التمرير البسيط باستخدام ../، لكنه لا يحل أهداف الروابط الرمزية (symlinks) أو الروابط الوصلية (junctions). إذا كان الرابط الرمزي أو الوصلية موجودًا بالفعل تحت الجذر المسموح به للمحتوى، فإن مسارًا مثل content/posts/pivot/owned.md لا يزال يُعتبر "داخل" الجذر الأساسي، حتى لو كان الهدف الفعلي في نظام الملفات خارج هذا النطاق. ونتيجة لذلك، يمكن لـ FilesystemBridge.get() وput() وdelete() وglob() العمل على ملفات خارج الجذر المقصود. تم إصلاح هذه المشكلة في الإصدار 2.2.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.