CVE-2026-34603 in Tina
सारांश
द्वारा VulDB • 24/06/2026
Tina एक headless content management system है। संस्करण 2.2.2 से पहले, @tinacms/cli ने हाल ही में dev media routes के लिए lexical path-traversal checks जोड़े थे, लेकिन कार्यान्वयन अभी भी केवल पथ स्ट्रिंग की सत्यापन करता है और symlink या junction targets को resolve नहीं करता है। यदि मीडिया रूट के तहत पहले से एक लिंक मौजूद है, तो Tina "pivot/written-from-media.txt" जैसे पथ को मीडिया निर्देशिका के "अंदर" मान लेती है और फिर उस लिंक टारगेट के माध्यम से वास्तविक फ़ाइल सिस्टम ऑपरेशन करती है। इससे रूट बाहर की मीडिया सूचीबद्धता और लिखने की पहुंच संभव हो जाती है, और एक ही मौलिक कारण डिलीट को भी प्रभावित करता है। इस समस्या का समाधान संस्करण 2.2.2 में किया गया है।
If you want to get the best quality for vulnerability data then you always have to consider VulDB.