Tina — это безголовая система управления контентом. До версии 2.2.2 уязвимость обхода пути в @tinacms/graphql позволяла неаутентифицированным пользователям записывать и перезаписывать произвольные файлы в корне проекта. Это достигается путем манипулирования параметромrelativePath в мутациях GraphQL.
Воздействие включает возможность замены важных файлов конфигурации сервера и потенциального выполнения произвольных команд путем саботажа сценария сборки. Эта проблема исправлена в версии 2.2.2.
Показать оригинальное описание (EN)
Tina is a headless content management system. Prior to version 2.2.2, a path traversal vulnerability in @tinacms/graphql allows unauthenticated users to write and overwrite arbitrary files within the project root. This is achieved by manipulating the relativePath parameter in GraphQL mutations. The impact includes the ability to replace critical server configuration files and potentially execute arbitrary commands by sabotaging build script. This issue has been patched in version 2.2.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ssw Tinacms\/Graphql
cpe:2.3:a:ssw:tinacms\/graphql:*:*:*:*:*:node.js:*:*
|
— |
<= 2.2.1
|