Plataforma
nodejs
Componente
@backstage/backend-defaults
Corregido en
0.12.3
0.13.1
0.14.1
0.12.2
La vulnerabilidad CVE-2026-24048 es una Server-Side Request Forgery (SSRF) detectada en el componente @backstage/backend-defaults. Esta falla permite a un atacante, controlando un host en la lista backend.reading.allow, redirigir solicitudes a URLs internas o sensibles, eludiendo así el control de acceso. La vulnerabilidad afecta a versiones >=0.11.0 y ha sido solucionada en la versión 0.12.2.
Un atacante que explote esta vulnerabilidad podría obtener acceso a recursos internos que normalmente estarían protegidos por la lista de URLs permitidas. Esto podría incluir la lectura de archivos de configuración, el acceso a bases de datos internas o la interacción con otros servicios internos. Aunque la vulnerabilidad no permite la inclusión de encabezados de solicitud adicionales, la capacidad de redirigir solicitudes a URLs internas representa un riesgo significativo para la seguridad de la aplicación. El impacto se limita a la capacidad de acceder a recursos internos, sin permitir la ejecución de código arbitrario o la modificación de datos.
La vulnerabilidad fue publicada el 21 de enero de 2026. No se ha reportado explotación activa en entornos de producción. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de control sobre un host en la lista backend.reading.allow y la falta de un exploit público disponible.
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar a la versión 0.12.2 de @backstage/backend-defaults. Si la actualización no es inmediatamente posible, se recomienda revisar y restringir la lista backend.reading.allow para minimizar la superficie de ataque. Implementar un Web Application Firewall (WAF) con reglas para detectar y bloquear redirecciones sospechosas también puede ayudar a mitigar el riesgo. Monitorear los logs de la aplicación en busca de patrones de redirección inusuales es crucial para detectar posibles intentos de explotación.
Actualice el paquete `@backstage/backend-defaults` a la versión 0.12.2, 0.13.2, 0.14.1, 0.15.0 o superior. Como alternativa, restrinja `backend.reading.allow` a hosts de confianza que controle y que no realicen redirecciones, asegúrese de que los hosts permitidos no tengan vulnerabilidades de redirección abierta, y/o utilice controles a nivel de red para bloquear el acceso desde Backstage a endpoints internos sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24048 is a Server-Side Request Forgery (SSRF) vulnerability in the @backstage/backend-defaults component of Backstage. It allows attackers to bypass URL allowlists and access internal resources via HTTP redirects.
You are affected if you are using a version of @backstage/backend-defaults prior to 0.12.2 and have the FetchUrlReader component in use, especially if your backend.reading.allow configuration is not strictly controlled.
Upgrade to @backstage/backend-defaults version 0.12.2 or later. If immediate upgrade is not possible, implement stricter URL validation and restrict hosts in backend.reading.allow.
Currently, there are no reports of active exploitation or publicly available proof-of-concept code for CVE-2026-24048.
Refer to the official Backstage security advisories and release notes for details on CVE-2026-24048 and the corresponding fix: [https://backstage.io/docs/security](https://backstage.io/docs/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.