प्लेटफ़ॉर्म
nodejs
घटक
@backstage/backend-defaults
में ठीक किया गया
0.12.3
0.13.1
0.14.1
2.2.3
3.0.1
3.1.1
0.11.3
0.12.1
0.12.2
CVE-2026-24046 @backstage/backend-defaults में एक पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को संवेदनशील फ़ाइलों तक पहुँचने और उन्हें संशोधित करने की अनुमति दे सकती है। प्रभावित संस्करण 0.12.2 से पहले के हैं। 2026-01-21 को प्रकाशित, इस भेद्यता को 0.12.2 में अपग्रेड करके ठीक किया जा सकता है।
यह भेद्यता हमलावरों को कई गंभीर कार्य करने की अनुमति देती है। वे debug:log कार्रवाई के माध्यम से संवेदनशील फ़ाइलों (जैसे /etc/passwd, कॉन्फ़िगरेशन फ़ाइलें, गुप्त) को पढ़ने के लिए सिंबॉलिक लिंक का उपयोग कर सकते हैं। इसके अतिरिक्त, वे fs:delete कार्रवाई के माध्यम से कार्यक्षेत्र के बाहर की फ़ाइलों को हटा सकते हैं, या संग्रह निष्कर्षण के दौरान कार्यक्षेत्र के बाहर फ़ाइलें लिख सकते हैं। यह भेद्यता डेटा उल्लंघन, सिस्टम समझौता और अनधिकृत पहुँच का कारण बन सकती है। इस भेद्यता का शोषण करने के लिए हमलावर को Scaffolder टेम्पलेट्स बनाने और निष्पादित करने की क्षमता की आवश्यकता होती है।
CVE-2026-24046 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और सिंबॉलिक लिंक शोषण की सापेक्ष सरलता के कारण, इसका शोषण होने का खतरा है। यह भेद्यता Node.js वातावरण को प्रभावित करती है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो संभावित हमलावरों के लिए शोषण को आसान बनाते हैं। CISA KEV सूची में शामिल होने की स्थिति अभी तक ज्ञात नहीं है।
Organizations using @backstage/backend-defaults in their development workflows, particularly those with Scaffolder templates that allow user-defined file paths, are at risk. Shared hosting environments where multiple users can create and execute Scaffolder templates are especially vulnerable.
• nodejs / server:
find /path/to/backstage/node_modules/@backstage/backend-defaults -type f -name '*.js' -exec grep -i 'debug:log' {} \;• nodejs / supply-chain:
Review Scaffolder template files for suspicious symlink usage (e.g., ../, /etc/passwd).
• generic web:
Inspect access logs for unusual file access patterns, particularly attempts to access files outside the expected workspace.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-24046 के लिए प्राथमिक शमन उपाय @backstage/backend-defaults को संस्करण 0.12.2 या उच्चतर में अपग्रेड करना है। यदि अपग्रेड तत्काल संभव नहीं है, तो अस्थायी शमन रणनीतियों में Scaffolder टेम्पलेट्स के निर्माण और निष्पादन को सीमित करना शामिल है। सुनिश्चित करें कि केवल विश्वसनीय स्रोत से ही टेम्पलेट्स का उपयोग किया जाता है। फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि हमलावर सिंबॉलिक लिंक का उपयोग करके संवेदनशील फ़ाइलों तक पहुँच न सकें। WAF नियमों को लागू करने पर विचार करें जो संभावित पथ पारगमन प्रयासों का पता लगाते हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि कोई भी संवेदनशील फ़ाइल अनधिकृत पहुँच से सुरक्षित है।
Actualice los paquetes `@backstage/backend-defaults`, `@backstage/plugin-scaffolder-backend` y `@backstage/plugin-scaffolder-node` a las versiones 0.12.2, 0.13.2, 0.14.1, y 0.15.0; 2.2.2, 3.0.2, y 3.1.1; y 0.11.2 y 0.12.3 respectivamente, o a versiones posteriores. Limite el acceso a la creación y actualización de plantillas. Restrinja quién puede crear y ejecutar plantillas de Scaffolder utilizando el marco de permisos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-24046 @backstage/backend-defaults में एक भेद्यता है जो हमलावरों को संवेदनशील फ़ाइलों तक पहुँचने और उन्हें संशोधित करने की अनुमति देती है। यह सिंबॉलिक लिंक का उपयोग करके पथ पारगमन की अनुमति देता है।
यदि आप @backstage/backend-defaults के संस्करण 0.12.2 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं। तुरंत अपग्रेड करें।
@backstage/backend-defaults को संस्करण 0.12.2 या उच्चतर में अपग्रेड करें। यदि अपग्रेड तत्काल संभव नहीं है, तो टेम्पलेट निर्माण और निष्पादन को सीमित करें।
CVE-2026-24046 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने का खतरा है।
@backstage/backend-defaults टीम की वेबसाइट या GitHub रिपॉजिटरी पर आधिकारिक सलाहकार की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।