CVE-2026-28792 — 神龙十问 AI 深度分析摘要
CVSS 9.7 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:TinaCMS CLI 开发服务器的 **CORS 策略过于宽松**,叠加 **路径遍历漏洞**。\n🔥 **后果**:远程攻击者可通过恶意网站,对开发者本地机器进行 **任意文件枚举、写入或删除**,造成严重数据泄露或破坏。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:**CWE-22** (路径遍历)。\n🛠 **缺陷点**:CLI 开发环境配置不当,未严格限制跨域请求的文件访问路径,导致攻击者能绕过安全边界访问敏感目录。
Q3影响谁?(版本/组件)
📦 **厂商**:**@tinacms**。\n📉 **版本**:**TinaCMS CLI**,版本在 **2.1.8 之前** 均受影响。\n⚠️ **注意**:仅限开发服务器(CLI)场景,非生产环境默认风险。
Q4黑客能干啥?(权限/数据)
👮 **权限**:远程攻击者(无需认证)。\n💾 **数据**:可 **读取** 任意文件(枚举)、**写入** 恶意文件、**删除** 关键文件。\n🌐 **范围**:攻击者通过诱导开发者访问恶意网站,即可控制开发者本地文件系统。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**低**。\n🔑 **认证**:**无需认证** (PR:N)。\n🖱️ **交互**:需要用户交互 (UI:R),即开发者需访问攻击者控制的恶意网站。\n🌍 **网络**:远程 (AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp**:目前 **无公开 PoC** (pocs: [])。\n🌍 **在野**:暂无在野利用报告。\n🔗 **参考**:详见 GitHub 安全公告 [GHSA-8pw3-9m7f-q734](https://github.com/tinacms/tinacms/security/advisories/GHSA-8pw3-9m7f-q734)。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查项目依赖中 TinaCMS 版本是否 **< 2.1.8**。\n📡 **扫描**:使用 SAST/DAST 工具检测 CLI 配置中的 **CORS 设置** 及 **路径遍历** 风险。\n👀 **人工**:审查 `dev` 服务器代码,确认是否限制了 `../` 等路径遍历字符。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:官方已发布安全公告。\n✅ **修复**:升级 TinaCMS 至 **2.1.8 或更高版本**。\n📅 **时间**:2026-03-12 公布。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:\n1. **不要** 在开发环境中访问不可信的第三方网站。\n2. 临时禁用 TinaCMS CLI 的 **CORS 功能** 或限制来源。\n3. 使用 **沙箱** 或 **虚拟机** 进行开发,隔离文件系统。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。\n📊 **CVSS**:**9.1** (Critical)。\n💡 **建议**:虽然需要用户交互,但后果严重(文件读写删)。建议 **立即升级** 版本,并提醒团队注意开发环境安全。