CVE-2026-28792
KrytyczneStreszczenie
Tina to system zarządzania treścią bez interfejsu graficznego. W wersjach przed 2.1.8, serwer deweloperski TinaCMS CLI łączył luźną konfigurację CORS (Access-Control-Allow-Origin: *) z podatnością na przejście ścieżki, co umożliwia atak typu drive-by w przeglądarce.
Ocena ryzyka
Zdalny atakujący może przeszukiwać system plików, zapisywać dowolne pliki oraz usuwać dowolne pliki na maszynach deweloperów, oszukując ich, aby odwiedzili złośliwą stronę internetową podczas działania serwera tinacms dev.
Rekomendacja
Zaleca się aktualizację do wersji 2.1.8 lub nowszej, aby usunąć tę podatność oraz zrewidowanie konfiguracji CORS w celu zwiększenia bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
Tina is a headless content management system. Prior to 2.1.8 , the TinaCMS CLI dev server combines a permissive CORS configuration (Access-Control-Allow-Origin: *) with the path traversal vulnerability (previously reported) to enable a browser-based drive-by attack. A remote attacker can enumerate the filesystem, write arbitrary files, and delete arbitrary files on developer's machines by simply tricking them into visiting a malicious website while tinacms dev is running. This vulnerability is fixed in 2.1.8.

