Plateforme
nodejs
Composant
@backstage/backend-common
Corrigé dans
0.21.1
0.19.11
0.20.1
La vulnérabilité CVE-2024-26150 concerne une faille de traversal de chemin dans la bibliothèque @backstage/backend-common, une composante essentielle des backends pour Backstage, une plateforme open source pour la création de portails développeurs. Cette faille, due à des vérifications de chemin insuffisantes dans l'utilitaire resolveSafeChildPath, permet à un attaquant d'accéder à des fichiers non autorisés s'il peut injecter des liens symboliques. Les versions affectées sont celles inférieures ou égales à 0.20.0, et celles strictement inférieures à 0.20.2. Une correction est disponible dans la version 0.21.1.
Un attaquant exploitant cette vulnérabilité pourrait potentiellement contourner les contrôles de chemin et accéder à des fichiers sensibles sur le système. L'injection de liens symboliques, si possible, permettrait de naviguer en dehors des répertoires prévus et d'accéder à des données confidentielles, des fichiers de configuration ou même des exécutables. Le risque est d'autant plus élevé si le système est mal configuré ou si des liens symboliques sont déjà présents dans l'environnement. Bien que l'exploitation directe puisse nécessiter une certaine expertise, la complexité de la configuration de Backstage pourrait masquer cette vulnérabilité et la rendre plus accessible à des attaquants moins expérimentés.
Cette vulnérabilité a été publiée le 23 février 2024. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention sur le KEV de CISA. Aucun proof-of-concept public n'est connu à l'heure actuelle, mais la nature de la vulnérabilité (traversal de chemin) la rend potentiellement exploitable par des attaquants disposant des compétences nécessaires. La complexité de la configuration de Backstage pourrait constituer un obstacle, mais ne doit pas être sous-estimée.
Organizations using Backstage developer portals and relying on @backstage/backend-common are at risk. This includes teams managing developer tools, infrastructure, and internal applications. Shared hosting environments where multiple Backstage instances share the same server are particularly vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• nodejs / server:
find /path/to/node_modules/@backstage/backend-common -type f -name 'resolveSafeChildPath.js' -print0 | xargs -0 grep -i 'path.resolve'• nodejs / server:
npm list @backstage/backend-common• generic web: Inspect web server access logs for requests containing unusual path patterns or attempts to traverse directories using '..' sequences.
disclosure
Statut de l'Exploit
EPSS
0.50% (percentile 66%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour @backstage/backend-common vers la version 0.21.1 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à renforcer les contrôles d'accès aux fichiers et répertoires sensibles. Il est également recommandé de désactiver les liens symboliques dans l'environnement Backstage, si cela est possible et ne perturbe pas le fonctionnement de l'application. Surveillez attentivement les journaux d'accès pour détecter toute tentative d'accès non autorisé à des fichiers. En cas de suspicion d'exploitation, isolez immédiatement le système affecté.
Actualice el paquete `@backstage/backend-common` a la versión 0.21.1, 0.20.2 o 0.19.10 o superior. Esto corrige la vulnerabilidad de path traversal causada por la manipulación de symlinks. Ejecute `npm install @backstage/backend-common@latest` o `yarn upgrade @backstage/backend-common@latest` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-26150 is a HIGH severity Path Traversal vulnerability affecting @backstage/backend-common versions ≤0.20.0 and <0.20.2. Insufficient path checks allow symlink injection, potentially enabling unauthorized file access.
You are affected if you are using @backstage/backend-common versions 0.20.0 or below, or versions prior to 0.20.2. Check your project dependencies to determine if you are vulnerable.
Upgrade to @backstage/backend-common version 0.21.1 or later. If upgrading is not immediately possible, implement stricter file access controls and input validation.
While no active exploitation campaigns have been publicly reported, the vulnerability is publicly known and a proof-of-concept may be available, increasing the risk of opportunistic attacks.
Refer to the Backstage security advisories and the NVD entry for CVE-2024-26150 for detailed information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.