Tina — это безголовая система управления контентом. До версии 2.1.8 сервер разработки TinaCMS CLI настраивает Vite с помощью server.fs.strict: false, который отключает встроенное ограничение доступа к файловой системе Vite. Это позволяет любому неаутентифицированному злоумышленнику, который может получить доступ к серверу разработки, читать произвольные файлы в хост-системе.
Эта уязвимость исправлена в версии 2.1.8.
Показать оригинальное описание (EN)
Tina is a headless content management system. Prior to 2.1.8, the TinaCMS CLI dev server configures Vite with server.fs.strict: false, which disables Vite's built-in filesystem access restriction. This allows any unauthenticated attacker who can reach the dev server to read arbitrary files on the host system. This vulnerability is fixed in 2.1.8.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ssw Tinacms\/Cli
cpe:2.3:a:ssw:tinacms\/cli:*:*:*:*:*:node.js:*:*
|
— |
2.1.8
|