JVNDB-2026-007495

SSWの@tinacms/cliにおける複数の脆弱性

Tinaはヘッドレスのコンテンツ管理システムです。2.1.8より前のバージョンでは、TinaCMS CLIの開発サーバーが寛容なCORS設定（Access-Control-Allow-Origin: *）と、以前に報告されたパストラバーサルの脆弱性を組み合わせて、ブラウザベースのドライブバイ攻撃を可能にしていました。リモートの攻撃者は、tinacms devが実行中の開発者のマシンに対して、悪意のあるウェブサイトを訪問させるだけで、ファイルシステムの列挙、任意のファイルの書き込み、および任意のファイルの削除を行うことができます。この脆弱性は2.1.8で修正されました。

SSW

• @tinacms/cli 2.1.8 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Cross-Origin File Exfiltration via CORS Misconfiguration + Path Traversal in TinaCMS  Advisory  tinacms/tinacms  GitHub

1. パス・トラバーサル(CWE-22) [その他]
2. 過度に許容されるクロスドメインホワイトリスト(CWE-942) [その他]

1. CVE-2026-28792

1. National Vulnerability Database (NVD) : CVE-2026-28792

• [2026年03月16日]
    掲載