Plataforma
nodejs
Componente
@backstage/integration
Corregido en
1.20.2
1.20.1
La vulnerabilidad CVE-2026-29185 afecta a la librería @backstage/integration, utilizada en Backstage para la integración con sistemas de control de versiones (SCM). Esta vulnerabilidad de path traversal permite a atacantes manipular URLs de SCM, redirigiendo solicitudes a endpoints de API no deseados utilizando las credenciales configuradas en el servidor. La vulnerabilidad afecta a instancias que utilizan integraciones SCM como GitHub, Bitbucket Server y Bitbucket Cloud, especialmente con el scaffolder. Se ha solucionado en la versión 1.20.1.
Un atacante podría explotar esta vulnerabilidad inyectando secuencias de path traversal codificadas en las URLs de SCM proporcionadas por el usuario. Cuando estas URLs son procesadas por las funciones de integración, los segmentos de traversal pueden redirigir las solicitudes a endpoints de API de SCM no autorizados. Esto podría permitir al atacante acceder a información confidencial, modificar datos o incluso ejecutar código en el contexto de la integración, dependiendo de los permisos asignados a las credenciales del servidor. El impacto se amplifica si las credenciales del servidor tienen acceso a recursos sensibles o a otros sistemas internos.
La vulnerabilidad fue publicada el 5 de marzo de 2026. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad (path traversal) la hace susceptible a ser explotada. Es importante monitorear los sistemas afectados para detectar cualquier actividad sospechosa. La vulnerabilidad no se encuentra en el KEV de CISA al momento de la redacción.
Organizations using Backstage with SCM integrations, particularly those relying on user-provided SCM URLs for features like the scaffolder, are at risk. Shared hosting environments where multiple Backstage instances share credentials are also particularly vulnerable, as a compromise in one instance could potentially impact others.
• nodejs / server:
npm list @backstage/integration• nodejs / server:
grep -r 'scaffolder' ./src/• generic web:
Inspect Backstage integration configuration files for any unusual URL patterns or overly permissive settings.
• generic web:
Review access logs for requests containing encoded path traversal sequences (e.g., ..%2f).
disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar la librería @backstage/integration a la versión 1.20.1 o superior. Si la actualización no es inmediatamente posible, se recomienda validar y sanitizar rigurosamente todas las URLs de SCM proporcionadas por el usuario para prevenir la inyección de path traversal. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes con patrones de path traversal sospechosos también puede ayudar a reducir el riesgo. Después de la actualización, confirme que las URLs de SCM se procesan correctamente y que no se producen redirecciones inesperadas.
Actualice el paquete `@backstage/integration` a la versión 1.20.1 o superior. Esto solucionará la vulnerabilidad de recorrido de directorios en el análisis de URLs SCM. Ejecute el comando npm update `@backstage/integration` para actualizar a la versión corregida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-29185 is a path traversal vulnerability in the @backstage/integration component, allowing attackers to redirect API requests using server-side credentials.
You are affected if you use @backstage/integration versions prior to 1.20.1 and utilize SCM integrations with user-provided URLs.
Upgrade to @backstage/integration version 1.20.1 or later to patch the vulnerability. Validate and sanitize user-provided URLs as a temporary workaround.
There is currently no evidence of active exploitation of CVE-2026-29185.
Refer to the official Backstage security advisory for detailed information and updates: [https://backstage.io/security](https://backstage.io/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.