CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28792

Critical
Published: Translated: NVD NIST

Summary

Tina to system zarządzania treścią bez interfejsu graficznego. W wersjach przed 2.1.8, serwer deweloperski TinaCMS CLI łączył luźną konfigurację CORS (Access-Control-Allow-Origin: *) z podatnością na przejście ścieżki, co umożliwia atak typu drive-by w przeglądarce.

Risk Assessment

Zdalny atakujący może przeszukiwać system plików, zapisywać dowolne pliki oraz usuwać dowolne pliki na maszynach deweloperów, oszukując ich, aby odwiedzili złośliwą stronę internetową podczas działania serwera tinacms dev.

Recommendation

Zaleca się aktualizację do wersji 2.1.8 lub nowszej, aby usunąć tę podatność oraz zrewidowanie konfiguracji CORS w celu zwiększenia bezpieczeństwa.

Original NVD description (English source)

Tina is a headless content management system. Prior to 2.1.8 , the TinaCMS CLI dev server combines a permissive CORS configuration (Access-Control-Allow-Origin: *) with the path traversal vulnerability (previously reported) to enable a browser-based drive-by attack. A remote attacker can enumerate the filesystem, write arbitrary files, and delete arbitrary files on developer's machines by simply tricking them into visiting a malicious website while tinacms dev is running. This vulnerability is fixed in 2.1.8.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS