Backstage には Scaffolder アクションでシンボリックリンクベースのパストラバーサルが起こりうる可能性があります

この脆弱性は、Scaffolderアクションとアーカイブ抽出ユーティリティに存在します。攻撃者は、Scaffolderテンプレートの作成と実行の権限を持つ場合、シンボリックリンクを悪用して、機密情報を盗み出す、重要なファイルを削除する、またはワークスペース外にファイルを書き込むことが可能です。具体的には、debug:logアクションで機密ファイル（/etc/passwd、設定ファイル、シークレットなど）を読み出す、fs:deleteアクションでワークスペース外のファイルを削除する、アーカイブ抽出（tar/zip）で悪意のあるシンボリックリンクを含むファイルを書き込むといった攻撃が考えられます。この脆弱性は、システム全体のセキュリティを脅かす重大なリスクとなります。

Organizations using @backstage/backend-defaults in their development workflows, particularly those with Scaffolder templates that allow user-defined file paths, are at risk. Shared hosting environments where multiple users can create and execute Scaffolder templates are especially vulnerable.

• nodejs / server:

  find /path/to/backstage/node_modules/@backstage/backend-defaults -type f -name '*.js' -exec grep -i 'debug:log' {} \;

• nodejs / supply-chain: Review Scaffolder template files for suspicious symlink usage (e.g., ../, /etc/passwd). • generic web: Inspect access logs for unusual file access patterns, particularly attempts to access files outside the expected workspace.

1. 2026-01-21Disclosure

   disclosure

1. 予約済み2026-01-20
2. 公開日2026-01-21
3. 更新日2026-02-03
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まず@backstage/backend-defaultsをバージョン0.12.2にアップデートすることを推奨します。アップデートが困難な場合は、シンボリックリンクの作成を制限するファイルシステムのアクセス制御や、Scaffolderテンプレートの入力検証を強化するなどの回避策を検討してください。また、WAF（Web Application Firewall）やプロキシサーバーの設定で、シンボリックリンクに関連するリクエストをブロックすることも有効です。アップデート後、ls -lコマンドなどでシンボリックリンクが意図しない場所に作成されていないか確認し、脆弱性が解消されていることを確認してください。