CVE-2026-34603 in Tinainformazioni

Riassunto

di VulDB • 18/06/2026

Tina è un sistema di gestione dei contenuti (CMS) headless. Prima della versione 2.2.2, @tinacms/cli ha recentemente aggiunto controlli per la traversamento del percorso (path-traversal) nelle rotte media di sviluppo; tuttavia, l'implementazione convalida solo la stringa del percorso e non risolve i target dei collegamenti simbolici (symlink) o delle giunzioni. Se un collegamento esiste già sotto la radice della directory media, Tina accetta percorsi come pivot/written-from-media.txt considerandoli "all'interno" della directory media ed esegue poi operazioni reali sul filesystem attraverso il target di quel collegamento. Ciò consente l'elencazione e la scrittura fuori dalla root (out-of-root) dei file multimediali; la stessa causa radice influisce anche sull'eliminazione. Questo problema è stato risolto nella versione 2.2.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00408

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!