Katalog CVE

CVE-2026-28792

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Tina to system zarządzania treścią bez interfejsu graficznego. W wersjach przed 2.1.8, serwer deweloperski TinaCMS CLI łączył luźną konfigurację CORS (Access-Control-Allow-Origin: *) z podatnością na przejście ścieżki, co umożliwia atak typu drive-by w przeglądarce.

Ocena ryzyka

Zdalny atakujący może przeszukiwać system plików, zapisywać dowolne pliki oraz usuwać dowolne pliki na maszynach deweloperów, oszukując ich, aby odwiedzili złośliwą stronę internetową podczas działania serwera tinacms dev.

Rekomendacja

Zaleca się aktualizację do wersji 2.1.8 lub nowszej, aby usunąć tę podatność oraz zrewidowanie konfiguracji CORS w celu zwiększenia bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

Tina is a headless content management system. Prior to 2.1.8 , the TinaCMS CLI dev server combines a permissive CORS configuration (Access-Control-Allow-Origin: *) with the path traversal vulnerability (previously reported) to enable a browser-based drive-by attack. A remote attacker can enumerate the filesystem, write arbitrary files, and delete arbitrary files on developer's machines by simply tricking them into visiting a malicious website while tinacms dev is running. This vulnerability is fixed in 2.1.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS