Plataforma
nodejs
Componente
@backstage/plugin-techdocs-node
Corregido en
1.13.12
1.14.1
1.13.12
1.14.2
1.14.1
La vulnerabilidad CVE-2026-25153 es una ejecución remota de código (RCE) que afecta a la versión 1.14.0 y anteriores del plugin @backstage/plugin-techdocs-node. Si TechDocs está configurado con runIn: local, un atacante con la capacidad de modificar el archivo mkdocs.yml de un repositorio puede ejecutar código Python arbitrario en el servidor de compilación. La vulnerabilidad fue publicada el 2 de febrero de 2026 y se recomienda actualizar a la versión 1.14.1 o posterior.
Esta vulnerabilidad permite a un atacante con acceso de escritura a un repositorio que utiliza el plugin TechDocs ejecutar código Python arbitrario en el servidor de compilación. Esto podría resultar en la ejecución de comandos maliciosos, el robo de información confidencial, la modificación de archivos del sistema o incluso el control total del servidor. El impacto es particularmente grave si el servidor de compilación tiene acceso a otros sistemas o datos sensibles. La capacidad de ejecutar código arbitrario abre la puerta a una amplia gama de ataques, incluyendo la exfiltración de credenciales, la instalación de malware y la interrupción del servicio.
Actualmente no hay información disponible sobre la explotación activa de esta vulnerabilidad. La vulnerabilidad fue publicada el 2 de febrero de 2026. No se ha listado en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations using @backstage/plugin-techdocs-node with the runIn: local configuration are at significant risk. This includes teams that rely on automated documentation generation pipelines and allow external contributors to modify repository content. Shared hosting environments where multiple users have access to repository configurations are also particularly vulnerable.
• nodejs / server:
find /path/to/techdocs/ -name 'mkdocs.yml' -print0 | xargs -0 grep -i 'hooks:'• nodejs / server:
npm list @backstage/plugin-techdocs-node• generic web:
Inspect mkdocs.yml files in repositories managed by TechDocs for the presence of the hooks configuration key.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin @backstage/plugin-techdocs-node a la versión 1.14.1 o posterior. Esta versión introduce una lista blanca de claves de configuración de MkDocs, eliminando las claves no admitidas (incluyendo hooks) del archivo mkdocs.yml antes de ejecutar el generador. Como medida temporal, si la actualización no es posible de inmediato, se puede considerar restringir el acceso de escritura al repositorio o implementar controles de seguridad adicionales en el servidor de compilación para mitigar el riesgo de ejecución de código malicioso. Después de la actualización, verifique que el archivo mkdocs.yml se procese correctamente y que no se generen errores relacionados con la eliminación de claves de configuración.
Actualice el paquete `@backstage/plugin-techdocs-node` a la versión 1.13.11 o superior, o a la versión 1.14.1 o superior. Esto corrige la vulnerabilidad de ejecución de código arbitrario a través de los hooks de MkDocs. Si no puede actualizar inmediatamente, configure TechDocs con `runIn: docker` en lugar de `runIn: local` o limite quién puede modificar los archivos `mkdocs.yml`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25153 is a remote code execution vulnerability in @backstage/plugin-techdocs-node versions up to 1.14.0, allowing attackers to execute Python code on the build server through malicious mkdocs.yml configurations.
You are affected if you are using @backstage/plugin-techdocs-node version 1.14.0 or earlier, and your TechDocs configuration uses runIn: local.
Upgrade to @backstage/plugin-techdocs-node version 1.14.1 or later. This version includes a fix that restricts allowed MkDocs configuration keys.
There is currently no public information indicating that CVE-2026-25153 is being actively exploited.
Refer to the official Backstage security advisory for details: [https://backstage.io/security/advisories](https://backstage.io/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.