CVE-2026-28792: Kritische Pfadtraversal-Lücke in TinaCMS bedroht Entwickler
⚠️ CVE-Referenzen:
CVE-2026-28792
Zusammenfassung
Eine kritische Sicherheitslücke in der Headless-CMS-Software TinaCMS vor Version 2.1.8 ermöglicht es Angreifern, Dateien auf den Systemen von Entwicklern zu lesen, zu schreiben und zu löschen. Die Kombination aus schwacher CORS-Konfiguration und Pfadtraversal-Fehler erlaubt es böswilligen Websites, Entwickler in Drive-by-Attacken auszunutzen, wenn der TinaCMS-Entwicklungsserver aktiv ist. Diese Schwachstelle stellt ein erhebliches Sicherheitsrisiko dar und sollte umgehend durch ein Update auf die sichere Version 2.1.8 behoben werden.
@tinacms - Cli - CRITICAL - CVE-2026-28792.
The TinaCMS, a headless content management system, was found to possess a critical vulnerability prior to version 2.1.8. This issue arises from a combination of a permissive CORS configuration and a path traversal flaw, allowing remote attackers to execute browser-based drive-by attacks. Unsuspecting developers could be tricked into visiting malicious websites while the TinaCMS development server is active, enabling attackers to enumerate the file system, write arbitrary files, and delete files from the developers' machines. This vulnerability exposes sensitive information and poses significant security risks for users of the affected versions.
Quelle: securityvulnerability.io