Platform
nodejs
Component
@backstage/plugin-auth-backend
Opgelost in
0.27.2
0.27.1
Een Server-Side Request Forgery (SSRF) kwetsbaarheid is ontdekt in het @backstage/plugin-auth-backend plugin, specifiek wanneer auth.experimentalClientIdMetadataDocuments.enabled is ingeschakeld. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde verzoeken te doen via de server, mogelijk toegang te krijgen tot interne bronnen. De kwetsbaarheid treft versies van @backstage/plugin-auth-backend lager dan 0.27.1. Een patch is beschikbaar in versie 0.27.1.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan een aanvaller in staat stellen om interne services en bronnen te bereiken die anders niet toegankelijk zouden zijn. Dit kan leiden tot data-exfiltratie, configuratie-wijzigingen of zelfs het compromitteren van andere systemen binnen het netwerk. De kwetsbaarheid ontstaat doordat de initiële client_id hostname wel wordt gevalideerd tegen private IP-bereiken, maar deze validatie niet wordt toegepast na HTTP redirects. Dit maakt het mogelijk voor een aanvaller om een redirect te gebruiken om een verzoek naar een interne bron te sturen, ongeacht de oorspronkelijke hostname. De impact is afhankelijk van de interne bronnen die toegankelijk zijn via de SSRF.
Deze kwetsbaarheid is openbaar bekend sinds 2026-03-12. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar SSRF-kwetsbaarheden worden vaak gebruikt in combinatie met andere aanvallen. De CVSS score is LOW (2.5), wat suggereert een relatief lage waarschijnlijkheid van exploitatie, maar de potentiële impact kan aanzienlijk zijn. Er zijn geen KEV vermeldingen bekend op het moment van schrijven.
Organizations utilizing @backstage/plugin-auth-backend with the auth.experimentalClientIdMetadataDocuments.enabled feature enabled are at risk. This includes teams leveraging Backstage for developer portal management and those relying on the plugin for client identity metadata. Shared hosting environments where the plugin is deployed alongside other applications should also be considered, as a compromised application could potentially exploit this vulnerability.
• nodejs / server:
# Check for vulnerable versions of @backstage/plugin-auth-backend
npm list @backstage/plugin-auth-backend• generic web:
# Inspect plugin configuration for auth.experimentalClientIdMetadataDocuments.enabled
grep -r 'auth.experimentalClientIdMetadataDocuments.enabled' backstage.config.jsdisclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
De primaire mitigatie voor deze kwetsbaarheid is het upgraden naar versie 0.27.1 van @backstage/plugin-auth-backend. Indien een upgrade direct niet mogelijk is, overweeg dan het uitschakelen van auth.experimentalClientIdMetadataDocuments.enabled om de functionaliteit die de kwetsbaarheid introduceert te deactiveren. Als dit niet wenselijk is, implementeer dan een Web Application Firewall (WAF) of proxy om uitgaande verzoeken te filteren en te blokkeren naar onverwachte of potentieel gevaarlijke bestemmingen. Controleer de configuratie van de plugin en zorg ervoor dat er geen onnodige interne services worden blootgesteld.
Actualiseer de plugin @backstage/plugin-auth-backend naar versie 0.27.1 of hoger om de SSRF kwetsbaarheid te mitigeren. Zorg ervoor dat de optie `auth.experimentalClientIdMetadataDocuments.enabled` is uitgeschakeld, tenzij dit absoluut noodzakelijk is. Indien ingeschakeld, beperk dan `allowedClientIdPatterns` tot specifieke vertrouwde domeinen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32236 is a Server-Side Request Forgery (SSRF) vulnerability in @backstage/plugin-auth-backend versions prior to 0.27.1. It allows attackers to bypass hostname validation after HTTP redirects when CIMD is enabled.
You are affected if you are using @backstage/plugin-auth-backend versions 0.27.0 or earlier and have auth.experimentalClientIdMetadataDocuments.enabled set to true.
Upgrade to @backstage/plugin-auth-backend version 0.27.1 or later. Alternatively, disable auth.experimentalClientIdMetadataDocuments.enabled.
There is no confirmed active exploitation at this time, but the SSRF nature of the vulnerability suggests a potential risk.
Refer to the Backstage security advisories and release notes for details: [https://backstage.io/security](https://backstage.io/security)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.