Plataforma
nodejs
Componente
@backstage/backend-defaults
Corregido en
0.12.3
0.13.1
0.14.1
2.2.3
3.0.1
3.1.1
0.11.3
0.12.1
0.12.2
La vulnerabilidad CVE-2026-24046 es un fallo de Path Traversal descubierto en la librería @backstage/backend-defaults. Un atacante con la capacidad de crear y ejecutar plantillas de Scaffolder puede explotar symlinks para acceder a archivos sensibles o manipular el sistema de archivos. La vulnerabilidad afecta a versiones anteriores a 0.12.2 y se recomienda actualizar a la versión corregida.
Esta vulnerabilidad permite a un atacante con acceso a Scaffolder templates comprometer la seguridad del sistema. Específicamente, pueden leer archivos arbitrarios, como /etc/passwd o archivos de configuración, a través de la acción debug:log. Además, pueden eliminar archivos arbitrarios utilizando la acción fs:delete o escribir archivos fuera del espacio de trabajo mediante la extracción de archivos (tar/zip) que contengan symlinks maliciosos. La superficie de ataque es significativa, ya que cualquier usuario con permisos para ejecutar Scaffolder templates podría potencialmente explotar esta vulnerabilidad. La capacidad de leer archivos de configuración podría revelar credenciales o claves API, mientras que la capacidad de escribir archivos fuera del espacio de trabajo podría permitir la ejecución de código malicioso.
La vulnerabilidad CVE-2026-24046 fue publicada el 21 de enero de 2026. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (path traversal) la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas afectados en busca de actividad sospechosa.
Organizations using @backstage/backend-defaults in their development workflows, particularly those with Scaffolder templates that allow user-defined file paths, are at risk. Shared hosting environments where multiple users can create and execute Scaffolder templates are especially vulnerable.
• nodejs / server:
find /path/to/backstage/node_modules/@backstage/backend-defaults -type f -name '*.js' -exec grep -i 'debug:log' {} \;• nodejs / supply-chain:
Review Scaffolder template files for suspicious symlink usage (e.g., ../, /etc/passwd).
• generic web:
Inspect access logs for unusual file access patterns, particularly attempts to access files outside the expected workspace.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 0.12.2 de @backstage/backend-defaults. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a las acciones de Scaffolder, especialmente debug:log y fs:delete. Implementar controles de acceso estrictos para limitar quién puede crear y ejecutar plantillas de Scaffolder es crucial. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de path traversal. Verifique que la actualización a 0.12.2 se haya completado correctamente revisando la versión instalada de la librería.
Actualice los paquetes `@backstage/backend-defaults`, `@backstage/plugin-scaffolder-backend` y `@backstage/plugin-scaffolder-node` a las versiones 0.12.2, 0.13.2, 0.14.1, y 0.15.0; 2.2.2, 3.0.2, y 3.1.1; y 0.11.2 y 0.12.3 respectivamente, o a versiones posteriores. Limite el acceso a la creación y actualización de plantillas. Restrinja quién puede crear y ejecutar plantillas de Scaffolder utilizando el marco de permisos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24046 is a Path Traversal vulnerability in @backstage/backend-defaults allowing attackers to read, delete, or write arbitrary files via symlink manipulation before version 0.12.2.
You are affected if you are using @backstage/backend-defaults versions prior to 0.12.2 and allow users to create and execute Scaffolder templates.
Upgrade to version 0.12.2 or later. If immediate upgrade is not possible, restrict user permissions and validate file paths.
There is currently no evidence of active exploitation, but the vulnerability's potential impact warrants attention.
Refer to the official Backstage security advisories for details: [https://backstage.io/security](https://backstage.io/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.