Plateforme
nodejs
Composant
@backstage/backend-defaults
Corrigé dans
0.12.3
0.13.1
0.14.1
2.2.3
3.0.1
3.1.1
0.11.3
0.12.1
0.12.2
La vulnérabilité CVE-2026-24046 concerne un défaut de traversal de chemin dans la bibliothèque @backstage/backend-defaults. Cette faille permet à un attaquant ayant la capacité de créer et d'exécuter des modèles Scaffolder d'exploiter des liens symboliques (symlinks) pour accéder à des fichiers sensibles. Les versions affectées sont celles antérieures à 0.12.2, et une correction a été déployée dans cette version.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter les actions Scaffolder et les utilitaires d'extraction d'archives pour lire des fichiers arbitraires sur le système. Cela inclut la lecture de fichiers de configuration sensibles, de secrets, et même des fichiers système tels que /etc/passwd. De plus, l'attaquant peut supprimer des fichiers en créant des liens symboliques pointant en dehors de l'espace de travail, ou écrire des fichiers malveillants en exploitant l'extraction d'archives (tar/zip) contenant des liens symboliques. La surface d'attaque est donc large et peut compromettre la sécurité globale du système.
Cette vulnérabilité a été rendue publique le 21 janvier 2026. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'un accès aux fonctionnalités Scaffolder. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation.
Organizations using @backstage/backend-defaults in their development workflows, particularly those with Scaffolder templates that allow user-defined file paths, are at risk. Shared hosting environments where multiple users can create and execute Scaffolder templates are especially vulnerable.
• nodejs / server:
find /path/to/backstage/node_modules/@backstage/backend-defaults -type f -name '*.js' -exec grep -i 'debug:log' {} \;• nodejs / supply-chain:
Review Scaffolder template files for suspicious symlink usage (e.g., ../, /etc/passwd).
• generic web:
Inspect access logs for unusual file access patterns, particularly attempts to access files outside the expected workspace.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour @backstage/backend-defaults vers la version 0.12.2 ou supérieure. Si la mise à jour est problématique, envisagez de revenir à une version antérieure stable si possible. En attendant, limitez les privilèges des utilisateurs ayant accès à la création et à l'exécution de modèles Scaffolder. Surveillez les journaux système pour détecter toute activité suspecte liée à la création ou à la manipulation de liens symboliques. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue du trafic réseau peut aider à identifier les tentatives d'exploitation.
Actualice los paquetes `@backstage/backend-defaults`, `@backstage/plugin-scaffolder-backend` y `@backstage/plugin-scaffolder-node` a las versiones 0.12.2, 0.13.2, 0.14.1, y 0.15.0; 2.2.2, 3.0.2, y 3.1.1; y 0.11.2 y 0.12.3 respectivamente, o a versiones posteriores. Limite el acceso a la creación y actualización de plantillas. Restrinja quién puede crear y ejecutar plantillas de Scaffolder utilizando el marco de permisos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24046 is a Path Traversal vulnerability in @backstage/backend-defaults allowing attackers to read, delete, or write arbitrary files via symlink manipulation before version 0.12.2.
You are affected if you are using @backstage/backend-defaults versions prior to 0.12.2 and allow users to create and execute Scaffolder templates.
Upgrade to version 0.12.2 or later. If immediate upgrade is not possible, restrict user permissions and validate file paths.
There is currently no evidence of active exploitation, but the vulnerability's potential impact warrants attention.
Refer to the official Backstage security advisories for details: [https://backstage.io/security](https://backstage.io/security)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.