CRITICAL🇬🇧 English

CVE-2026-28792

TinaCMS CLI: path traversal + CORS umożliwiają atak drive-by na deweloperów

CVSS 9.6v3.1pub. 2026-03-12upd. 2026-03-13

TinaCMS CLI w wersjach przed 2.1.8 zawiera krytyczną podatność łączącą zbyt permisywną konfigurację CORS (Access-Control-Allow-Origin: *) z luką path traversal. Wystarczy, że deweloper odwiedzi złośliwą stronę internetową podczas działania serwera deweloperskiego TinaCMS, aby atakujący zdalnie uzyskał dostęp do jego systemu plików.

Pokaż oryginał (EN)

Tina is a headless content management system. Prior to 2.1.8 , the TinaCMS CLI dev server combines a permissive CORS configuration (Access-Control-Allow-Origin: *) with the path traversal vulnerability (previously reported) to enable a browser-based drive-by attack. A remote attacker can enumerate the filesystem, write arbitrary files, and delete arbitrary files on developer's machines by simply tricking them into visiting a malicious website while tinacms dev is running. This vulnerability is fixed in 2.1.8.

🤖 Analiza AI
Jak działa

Serwer deweloperski TinaCMS CLI ustawia nagłówek CORS z wartością wildcard (Access-Control-Allow-Origin: *), co pozwala dowolnej stronie internetowej wysyłać żądania do lokalnego serwera. W połączeniu z luką path traversal (CWE-22) możliwe jest wyjście poza dozwolony katalog roboczy i uzyskanie dostępu do dowolnych plików systemu operacyjnego. Atakujący przygotowuje złośliwą stronę, którą ofiara odwiedza w przeglądarce — strona ta automatycznie wysyła żądania do lokalnie działającego serwera TinaCMS i wykonuje operacje na plikach bez wiedzy użytkownika. Tego rodzaju atak określany jest jako drive-by attack.

Skutki

Atakujący może zdalnie odczytywać, zapisywać oraz usuwać dowolne pliki na komputerze dewelopera, co może prowadzić do kradzieży wrażliwych danych (np. kluczy API, konfiguracji środowisk), przejęcia projektu lub wykonania złośliwego kodu poprzez podmianę plików.

Mitygacja

Należy zaktualizować TinaCMS CLI do wersji 2.1.8 lub nowszej, w której podatność została usunięta. Do czasu aktualizacji zaleca się nieodwiedzanie niezaufanych stron internetowych podczas działania serwera deweloperskiego TinaCMS oraz ograniczenie dostępu do lokalnego serwera za pomocą firewall lub mechanizmów systemu operacyjnego.

Kogo dotyczy

TinaCMS CLI (pakiet @tinacms/cli) w wersjach przed 2.1.8 — dotyczy maszyn deweloperskich, na których uruchomiony jest serwer deweloperski poleceniem 'tinacms dev'.

Uwagi

Podatność dotyczy wyłącznie środowiska deweloperskiego (serwer uruchamiany poleceniem 'tinacms dev') — produkcyjne wdrożenia TinaCMS nie są bezpośrednio narażone. Luka path traversal była wcześniej zgłaszana jako osobna podatność; opisywane CVE dotyczy jej połączenia z błędną konfiguracją CORS.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Ssw Tinacms\/cli

    APP
    Ssw
    < 2.1.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-34603HIGH7.1ten sam produkt

Tina is a headless content management system. Prior to version 2.2.2, @tinacms/cli recently added lexical path...

CVE-2026-28791HIGH7.4ten sam produkt

Tina is a headless content management system. Prior to 2.1.7, a path traversal vulnerability exists in the Tin...

CVE-2026-28793HIGH8.4ten sam produkt

Tina is a headless content management system. Prior to 2.1.8, the TinaCMS CLI development server exposes media...

CVE-2025-68278HIGH7.3ten sam produkt

Tina is a headless content management system. In tinacms prior to version 3.1.1, tinacms uses the gray-matter ...

CVE-2024-45391HIGH7.5ten sam produkt

Tina is an open-source content management system (CMS). Sites building with Tina CMS's command line interface ...