プラットフォーム
nodejs
コンポーネント
@backstage/backend-common
修正版
0.21.1
0.19.11
0.20.1
CVE-2024-26150は、Backstageの共通バックエンド機能ライブラリである@backstage/backend-commonに存在するパス・トラバーサル脆弱性です。この脆弱性は、シンボリックリンクの不適切な検証により、攻撃者がファイルシステム内の機密ファイルにアクセスできる可能性があります。影響を受けるバージョンは0.20.0以下、および0.20.2未満です。バージョン0.21.1、0.20.2、0.19.10へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者はBackstageバックエンドサーバーがアクセスできるファイルシステム内の任意のファイルにアクセスできる可能性があります。これにより、機密情報(APIキー、データベース接続文字列、ソースコードなど)が漏洩するリスクがあります。また、攻撃者はこの脆弱性を利用して、バックエンドサーバー上で任意のコードを実行できる可能性も否定できません。特に、Backstageを開発環境や本番環境で利用している場合、この脆弱性の影響は甚大です。攻撃者は、Backstageの認証情報を盗み出し、他のシステムへの攻撃の足がかりとして利用する可能性があります。
この脆弱性は、2024年2月23日に公開されました。現時点では、公開されているPoCは確認されていませんが、シンボリックリンクの注入は比較的容易な攻撃手法であるため、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明ですが、CVSSスコアが8.7(HIGH)であることから、注意が必要です。
Organizations using Backstage developer portals and relying on @backstage/backend-common are at risk. This includes teams managing developer tools, infrastructure, and internal applications. Shared hosting environments where multiple Backstage instances share the same server are particularly vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• nodejs / server:
find /path/to/node_modules/@backstage/backend-common -type f -name 'resolveSafeChildPath.js' -print0 | xargs -0 grep -i 'path.resolve'• nodejs / server:
npm list @backstage/backend-common• generic web: Inspect web server access logs for requests containing unusual path patterns or attempts to traverse directories using '..' sequences.
disclosure
エクスプロイト状況
EPSS
0.50% (66% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まず@backstage/backend-commonをバージョン0.21.1、0.20.2、または0.19.10にアップデートすることを推奨します。アップデートが困難な場合は、シンボリックリンクの作成を制限するファイルシステムの設定変更や、WAF(Web Application Firewall)によるアクセス制御を検討してください。また、Backstageのバックエンドサーバーがアクセスできるファイルシステムの範囲を最小限に抑えることで、攻撃の影響範囲を限定できます。アップデート後、resolveSafeChildPathユーティリティが正しく機能していることを確認し、ファイルシステムへの不正アクセスがないことを検証してください。
Actualice el paquete `@backstage/backend-common` a la versión 0.21.1, 0.20.2 o 0.19.10 o superior. Esto corrige la vulnerabilidad de path traversal causada por la manipulación de symlinks. Ejecute `npm install @backstage/backend-common@latest` o `yarn upgrade @backstage/backend-common@latest` para actualizar.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-26150は、@backstage/backend-commonのバージョン0.20.0以下、および0.20.2未満に存在するパス・トラバーサル脆弱性です。シンボリックリンクの不適切な検証により、攻撃者がファイルシステム内の機密ファイルにアクセスできる可能性があります。
はい、@backstage/backend-commonのバージョンが0.20.0以下、または0.20.2未満の場合、この脆弱性の影響を受けます。バージョン0.21.1、0.20.2、0.19.10へのアップデートが必要です。
まず、@backstage/backend-commonをバージョン0.21.1、0.20.2、または0.19.10にアップデートしてください。アップデートが困難な場合は、シンボリックリンクの作成を制限するファイルシステムの設定変更や、WAFによるアクセス制御を検討してください。
現時点では、公開されているPoCは確認されていませんが、シンボリックリンクの注入は比較的容易な攻撃手法であるため、悪用される可能性は高いと考えられます。
Backstageの公式ウェブサイトまたはGitHubリポジトリで、CVE-2024-26150に関するアドバイザリをご確認ください。