Platform
nodejs
Component
@backstage/backend-defaults
Opgelost in
0.12.3
0.13.1
0.14.1
2.2.3
3.0.1
3.1.1
0.11.3
0.12.1
0.12.2
CVE-2026-24046 beschrijft een Path Traversal kwetsbaarheid in @backstage/backend-defaults. Deze kwetsbaarheid stelt een aanvaller met de mogelijkheid om Scaffolder templates te maken en uit te voeren, in staat om via symlinks toegang te krijgen tot gevoelige bestanden of acties uit te voeren buiten de beoogde workspace. De kwetsbaarheid treft versies van @backstage/backend-defaults vóór 0.12.2. Een fix is beschikbaar in versie 0.12.2.
Deze Path Traversal kwetsbaarheid in @backstage/backend-defaults maakt het mogelijk voor een aanvaller om ongeautoriseerde toegang te krijgen tot gevoelige informatie en systemen te compromitteren. Een aanvaller kan symlinks gebruiken om bestanden buiten de workspace te lezen, zoals configuratiebestanden, wachtwoorden of andere gevoelige gegevens. Bovendien kan de aanvaller bestanden verwijderen of schrijven naar willekeurige locaties op het systeem, wat kan leiden tot dataverlies, systeeminstabiliteit of verdere exploitatie. De mogelijkheid om bestanden buiten de workspace te schrijven, vergroot de impact aanzienlijk, omdat dit de aanvaller in staat stelt om kwaadaardige code uit te voeren of de integriteit van het systeem te compromitteren.
Op dit moment is er geen publieke exploitatie van CVE-2026-24046 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-01-21. De CVSS score van 7.1 (HIGH) duidt op een potentieel significant risico. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven. Het is raadzaam om de kwetsbaarheid serieus te nemen en de aanbevolen mitigatiemaatregelen te implementeren.
Organizations using @backstage/backend-defaults in their development workflows, particularly those with Scaffolder templates that allow user-defined file paths, are at risk. Shared hosting environments where multiple users can create and execute Scaffolder templates are especially vulnerable.
• nodejs / server:
find /path/to/backstage/node_modules/@backstage/backend-defaults -type f -name '*.js' -exec grep -i 'debug:log' {} \;• nodejs / supply-chain:
Review Scaffolder template files for suspicious symlink usage (e.g., ../, /etc/passwd).
• generic web:
Inspect access logs for unusual file access patterns, particularly attempts to access files outside the expected workspace.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-24046 is het upgraden van @backstage/backend-defaults naar versie 0.12.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de Scaffolder templates en het monitoren van de systeembestanden op onverwachte wijzigingen. Controleer de Scaffolder templates op verdachte symlinks. Implementeer een Web Application Firewall (WAF) met regels die symlink-gerelateerde patronen blokkeren. Na de upgrade, verifieer de fix door te proberen een symlink te creëren die naar een gevoelig bestand wijst en controleer of de toegang wordt geweigerd.
Actualice los paquetes `@backstage/backend-defaults`, `@backstage/plugin-scaffolder-backend` y `@backstage/plugin-scaffolder-node` a las versiones 0.12.2, 0.13.2, 0.14.1, y 0.15.0; 2.2.2, 3.0.2, y 3.1.1; y 0.11.2 y 0.12.3 respectivamente, o a versiones posteriores. Limite el acceso a la creación y actualización de plantillas. Restrinja quién puede crear y ejecutar plantillas de Scaffolder utilizando el marco de permisos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24046 is a Path Traversal vulnerability in @backstage/backend-defaults allowing attackers to read, delete, or write arbitrary files via symlink manipulation before version 0.12.2.
You are affected if you are using @backstage/backend-defaults versions prior to 0.12.2 and allow users to create and execute Scaffolder templates.
Upgrade to version 0.12.2 or later. If immediate upgrade is not possible, restrict user permissions and validate file paths.
There is currently no evidence of active exploitation, but the vulnerability's potential impact warrants attention.
Refer to the official Backstage security advisories for details: [https://backstage.io/security](https://backstage.io/security)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.