Platform
nodejs
Component
@backstage/integration
Opgelost in
1.20.2
1.20.1
CVE-2026-29185 beschrijft een path traversal kwetsbaarheid in de SCM URL-parsing van @backstage/integration. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om path traversal sequences in gecodeerde vorm in bestandspaden op te nemen. Dit kan leiden tot misbruik van server-side integratie credentials. De kwetsbaarheid treft Backstage integraties (GitHub, Bitbucket Server, Bitbucket Cloud) en is verholpen in versie 1.20.1.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om API-verzoeken om te leiden naar onbedoelde SCM-provider API-eindpunten. Dit kan leiden tot ongeautoriseerde toegang tot SCM-gegevens, zoals code repositories, pull requests en andere gevoelige informatie. De impact is afhankelijk van de privileges die aan de server-side integratie credentials zijn gekoppeld. Het misbruik kan leiden tot data-exfiltratie of zelfs tot het compromitteren van de SCM-omgeving zelf. Het is vergelijkbaar met scenario's waarbij een aanvaller via een onjuist geconfigureerde applicatie toegang krijgt tot gevoelige data die anders beschermd zou moeten zijn.
Deze kwetsbaarheid is openbaar bekend sinds 2026-03-05. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de path traversal aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De CVSS score is LOW, wat suggereert dat de exploitatie complexiteit relatief hoog is. Er is geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid misbruiken.
Organizations using Backstage with SCM integrations, particularly those relying on user-provided SCM URLs for features like the scaffolder, are at risk. Shared hosting environments where multiple Backstage instances share credentials are also particularly vulnerable, as a compromise in one instance could potentially impact others.
• nodejs / server:
npm list @backstage/integration• nodejs / server:
grep -r 'scaffolder' ./src/• generic web:
Inspect Backstage integration configuration files for any unusual URL patterns or overly permissive settings.
• generic web:
Review access logs for requests containing encoded path traversal sequences (e.g., ..%2f).
disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van @backstage/integration naar versie 1.20.1 of hoger. Indien een upgrade direct niet mogelijk is, kan het implementeren van een Web Application Firewall (WAF) helpen om kwaadaardige URL's te blokkeren. Configureer de WAF om path traversal patronen te detecteren en te blokkeren, zoals ../ en ..%2f. Controleer de configuratie van de SCM-integraties om er zeker van te zijn dat er geen onnodige privileges zijn verleend. Na de upgrade, verifieer de correcte werking van de integraties door handmatig SCM-URL's te testen en te controleren of de verzoeken naar de verwachte eindpunten worden geleid.
Actualiseer het pakket `@backstage/integration` naar versie 1.20.1 of hoger. Dit zal de path traversal kwetsbaarheid in SCM URL-parsing oplossen. Voer het commando npm update `@backstage/integration` uit om te updaten naar de gecorrigeerde versie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-29185 is a path traversal vulnerability in the @backstage/integration component, allowing attackers to redirect API requests using server-side credentials.
You are affected if you use @backstage/integration versions prior to 1.20.1 and utilize SCM integrations with user-provided URLs.
Upgrade to @backstage/integration version 1.20.1 or later to patch the vulnerability. Validate and sanitize user-provided URLs as a temporary workaround.
There is currently no evidence of active exploitation of CVE-2026-29185.
Refer to the official Backstage security advisory for detailed information and updates: [https://backstage.io/security](https://backstage.io/security)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.