LOWCVE-2026-29185CVSS 2.7

Backstage は、組み込みトークンを使用して SCM URL を読み取る可能性がある脆弱性があります

Q: CVE-2026-29185 — パス・トラバーサルは@backstage/integrationで何ですか？

CVE-2026-29185は、@backstage/integrationのSCM URL解析におけるパス・トラバーサル脆弱性です。悪意のあるURLにより、認証情報を使用して意図しないSCM APIエンドポイントにリクエストをリダイレクトする可能性があります。

Q: CVE-2026-29185で@backstage/integrationを使用していますか？

バージョン1.20.1以前の@backstage/integrationを使用している場合は、影響を受けます。バージョン1.20.1にアップグレードするか、緩和策を適用してください。

Q: CVE-2026-29185で@backstage/integrationを修正するにはどうすればよいですか？

@backstage/integrationをバージョン1.20.1にアップグレードしてください。アップグレードが難しい場合は、SCM URLの入力を検証し、WAFを導入することを検討してください。

Q: @backstage/integrationのCVE-2026-29185に関する公式アドバイザリはどこで入手できますか？

Backstageの公式アドバイザリは、BackstageのドキュメントまたはGitHubリポジトリで確認できます。

プラットフォーム

nodejs

コンポーネント

@backstage/integration

修正版

1.20.2

1.20.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-29185は、BackstageのSCM URL解析におけるパス・トラバーサル脆弱性です。この脆弱性により、悪意のあるURLを介して、Backstageのサーバー側統合認証情報を使用して、意図しないSCMプロバイダーAPIエンドポイントへのリクエストをリダイレクトする可能性があります。影響を受けるバージョンは1.20.1以前です。この問題は、バージョン1.20.1で修正されています。

影響と攻撃シナリオ

この脆弱性は、BackstageのSCM統合（GitHub、Bitbucket Server、Bitbucket Cloudなど）を使用し、ユーザーが提供するSCM URLを処理する機能（スキャフォルダーなど）を持つインスタンスに影響を与えます。攻撃者は、エンコードされたパス・トラバーサルシーケンスを含む悪意のあるURLをBackstageに送信することで、認証情報を使用して、意図しないSCMプロバイダーAPIエンドポイントにリクエストをリダイレクトできます。これにより、機密情報の漏洩、不正な操作、またはサービス拒否攻撃につながる可能性があります。この脆弱性は、Backstageの認証情報を悪用し、SCMプロバイダーのAPIにアクセスする可能性を秘めています。

悪用の状況

このCVEは2026年3月5日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。この脆弱性は、BackstageのSCM統合を使用する組織にとって、潜在的なリスクとなります。

リスク対象者翻訳中…

Organizations using Backstage with SCM integrations, particularly those relying on user-provided SCM URLs for features like the scaffolder, are at risk. Shared hosting environments where multiple Backstage instances share credentials are also particularly vulnerable, as a compromise in one instance could potentially impact others.

検出手順翻訳中…

• nodejs / server:

  npm list @backstage/integration

• nodejs / server:

  grep -r 'scaffolder' ./src/

• generic web: Inspect Backstage integration configuration files for any unusual URL patterns or overly permissive settings. • generic web: Review access logs for requests containing encoded path traversal sequences (e.g., ..%2f).

攻撃タイムライン

2026-03-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネント@backstage/integration

ベンダーosv

影響範囲修正版

< 1.20.1 – < 1.20.11.20.2

—1.20.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-04
公開日2026-03-05
更新日2026-03-09
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への主な対策は、@backstage/integrationをバージョン1.20.1にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的な回避策として、SCM URLの入力を厳密に検証し、パス・トラバーサルシーケンスをフィルタリングすることを検討してください。また、WAF（Web Application Firewall）を導入し、悪意のあるURLパターンを検出およびブロックするように設定することも有効です。Backstageのログを監視し、異常なAPIリクエストを検出することも重要です。アップグレード後、SCM URLの処理が正常に行われていることを確認してください。

修正方法

パッケージ `@backstage/integration` をバージョン 1.20.1 以降にアップデートしてください。これにより、SCM URL の解析におけるパストラバーサル脆弱性が修正されます。修正されたバージョンにアップデートするには、`npm update @backstage/integration` コマンドを実行してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-29185 — パス・トラバーサルは@backstage/integrationで何ですか？