Platform
nodejs
Component
@backstage/backend-common
Opgelost in
0.21.1
0.19.11
0.20.1
CVE-2024-26150 beschrijft een Path Traversal kwetsbaarheid in de @backstage/backend-common library, een component van Backstage, een open platform voor het bouwen van developer portals. Deze kwetsbaarheid stelt aanvallers mogelijk in staat om ongeautoriseerde toegang te krijgen tot bestanden door middel van symlink injectie. De kwetsbaarheid treft versies van @backstage/backend-common kleiner dan of gelijk aan 0.20.0 en kleiner dan 0.20.2. Een patch is beschikbaar in versie 0.21.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanvallers toegang geven tot gevoelige bestanden op het systeem waar @backstage/backend-common draait. Dit kan leiden tot datalekken, compromittering van de backend-configuratie, of zelfs de uitvoering van willekeurige code, afhankelijk van de rechten van de gebruiker die de applicatie uitvoert. Het risico wordt verhoogd als de applicatie draait met verhoogde privileges of als er onbeveiligde symlinks aanwezig zijn in de omgeving. De impact kan aanzienlijk zijn, vooral in omgevingen waar Backstage wordt gebruikt voor het beheren van kritieke developer workflows en toegang tot gevoelige resources.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 23 februari 2024. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. Het is raadzaam om deze kwetsbaarheid serieus te nemen en onmiddellijk te mitigeren.
Organizations using Backstage developer portals and relying on @backstage/backend-common are at risk. This includes teams managing developer tools, infrastructure, and internal applications. Shared hosting environments where multiple Backstage instances share the same server are particularly vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• nodejs / server:
find /path/to/node_modules/@backstage/backend-common -type f -name 'resolveSafeChildPath.js' -print0 | xargs -0 grep -i 'path.resolve'• nodejs / server:
npm list @backstage/backend-common• generic web: Inspect web server access logs for requests containing unusual path patterns or attempts to traverse directories using '..' sequences.
disclosure
Exploit Status
EPSS
0.50% (66% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-26150 is het upgraden van @backstage/backend-common naar versie 0.21.1 of hoger. Indien een directe upgrade niet mogelijk is, is het essentieel om de omgeving te inspecteren op onbeveiligde symlinks en deze te verwijderen of te beperken. Overweeg het implementeren van een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren. Controleer de configuratie van Backstage om ervoor te zorgen dat de toegang tot bestanden en resources strikt wordt gecontroleerd. Na de upgrade, verifieer de fix door te proberen een symlink te injecteren en te controleren of de toegang wordt geweigerd.
Actualice el paquete `@backstage/backend-common` a la versión 0.21.1, 0.20.2 o 0.19.10 o superior. Esto corrige la vulnerabilidad de path traversal causada por la manipulación de symlinks. Ejecute `npm install @backstage/backend-common@latest` o `yarn upgrade @backstage/backend-common@latest` para actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-26150 is a HIGH severity Path Traversal vulnerability affecting @backstage/backend-common versions ≤0.20.0 and <0.20.2. Insufficient path checks allow symlink injection, potentially enabling unauthorized file access.
You are affected if you are using @backstage/backend-common versions 0.20.0 or below, or versions prior to 0.20.2. Check your project dependencies to determine if you are vulnerable.
Upgrade to @backstage/backend-common version 0.21.1 or later. If upgrading is not immediately possible, implement stricter file access controls and input validation.
While no active exploitation campaigns have been publicly reported, the vulnerability is publicly known and a proof-of-concept may be available, increasing the risk of opportunistic attacks.
Refer to the Backstage security advisories and the NVD entry for CVE-2024-26150 for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.