Plateforme
nodejs
Composant
@backstage/plugin-auth-backend
Corrigé dans
0.27.2
0.27.1
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans le plugin @backstage/plugin-auth-backend. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources non intentionnelles, potentiellement internes. Elle est présente dans les versions antérieures à 0.27.1 et peut être exploitée si la fonctionnalité auth.experimentalClientIdMetadataDocuments.enabled est activée. Une mise à jour vers la version 0.27.1 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les restrictions de sécurité et d'accéder à des ressources internes qui ne devraient pas être accessibles depuis l'extérieur. Cela pourrait inclure l'accès à des informations sensibles stockées sur des serveurs internes, l'exécution de commandes sur des systèmes vulnérables, ou même l'accès à des services cloud internes. Le risque est amplifié si le plugin est utilisé dans un environnement où des informations sensibles sont traitées ou si des services internes sont exposés. Bien que le CVSS score soit faible, l'impact potentiel sur la confidentialité et l'intégrité des données internes ne doit pas être sous-estimé.
Cette vulnérabilité a été publiée le 12 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour. Le score CVSS de 2.5 indique une faible probabilité d'exploitation, mais la nature de la vulnérabilité SSRF signifie qu'elle peut être exploitée relativement facilement si un attaquant a accès au plugin. Il n'est pas répertorié sur le KEV de CISA.
Organizations utilizing @backstage/plugin-auth-backend with the auth.experimentalClientIdMetadataDocuments.enabled feature enabled are at risk. This includes teams leveraging Backstage for developer portal management and those relying on the plugin for client identity metadata. Shared hosting environments where the plugin is deployed alongside other applications should also be considered, as a compromised application could potentially exploit this vulnerability.
• nodejs / server:
# Check for vulnerable versions of @backstage/plugin-auth-backend
npm list @backstage/plugin-auth-backend• generic web:
# Inspect plugin configuration for auth.experimentalClientIdMetadataDocuments.enabled
grep -r 'auth.experimentalClientIdMetadataDocuments.enabled' backstage.config.jsdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
La mitigation principale consiste à mettre à jour @backstage/plugin-auth-backend vers la version 0.27.1 ou supérieure, qui corrige cette vulnérabilité. Si une mise à jour immédiate n'est pas possible, désactiver temporairement la fonctionnalité auth.experimentalClientIdMetadataDocuments.enabled peut réduire le risque. Surveillez les journaux d'accès du serveur pour détecter des requêtes suspectes vers des adresses IP internes. Implémentez des règles de pare-feu pour limiter l'accès aux ressources internes depuis le plugin. Il n'existe pas de signature Sigma ou YARA spécifique à cette vulnérabilité, mais une surveillance générale du trafic réseau peut aider à identifier des activités suspectes.
Mettez à jour le plugin @backstage/plugin-auth-backend à la version 0.27.1 ou supérieure pour atténuer la vulnérabilité SSRF. Assurez-vous que l'option `auth.experimentalClientIdMetadataDocuments.enabled` est désactivée, sauf si elle est absolument nécessaire. Si elle est activée, restreignez `allowedClientIdPatterns` à des domaines de confiance spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32236 is a Server-Side Request Forgery (SSRF) vulnerability in @backstage/plugin-auth-backend versions prior to 0.27.1. It allows attackers to bypass hostname validation after HTTP redirects when CIMD is enabled.
You are affected if you are using @backstage/plugin-auth-backend versions 0.27.0 or earlier and have auth.experimentalClientIdMetadataDocuments.enabled set to true.
Upgrade to @backstage/plugin-auth-backend version 0.27.1 or later. Alternatively, disable auth.experimentalClientIdMetadataDocuments.enabled.
There is no confirmed active exploitation at this time, but the SSRF nature of the vulnerability suggests a potential risk.
Refer to the Backstage security advisories and release notes for details: [https://backstage.io/security](https://backstage.io/security)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.