CVE-2026-54074
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Podatność w @tinacms/cli przed wersją 2.4.3 umożliwia zdalne wykonanie kodu (RCE) podczas migracji z Forestry do Tina. Funkcja addVariablesToCode nie sprawdza poprawności wartości z pól label i name w plikach .forestry/**/*.yml, co pozwala na wstrzyknięcie dowolnego kodu JavaScript do pliku tina/templates.{ts,js}.
Ocena ryzyka
Atakujący może przejąć kontrolę nad środowiskiem deweloperskim, wykonując kod z uprawnieniami dewelopera podczas uruchamiania komend tinacms dev lub tinacms build, co prowadzi do kradzieży danych, instalacji złośliwego oprogramowania lub dalszego ataku na infrastrukturę.
Rekomendacja
Niezwłocznie zaktualizuj @tinacms/cli do wersji 2.4.3 lub nowszej. Przed migracją z Forestry upewnij się, że pliki źródłowe pochodzą z zaufanego źródła.
Oryginalny opis (angielski, źródło NVD)
Tina is a headless content management system. @tinacms/cli versions prior to 2.4.3 contain a Remote Code Execution vulnerability in the Forestry-to-Tina migration command. The internal helper addVariablesToCode unquotes any value matching the marker "__TINA_INTERNAL__:::(.*?):::" inside the stringified collection JSON. User-supplied label and name fields from .forestry/**/*.yml are placed into that JSON without any sanitisation. An attacker who controls a Forestry-style project can therefore inject arbitrary JavaScript into the generated tina/templates.{ts,js} file. The injected code is written at module top level, so it executes the moment the developer runs tinacms dev or tinacms build, with the developer's privileges. This issue has been fixed in version 2.4.3.

