Plataforma
nodejs
Componente
@backstage/backend-defaults
Corrigido em
0.12.3
0.13.1
0.14.1
2.2.3
3.0.1
3.1.1
0.11.3
0.12.1
0.12.2
A vulnerabilidade CVE-2026-24046 é um problema de Path Traversal identificado em @backstage/backend-defaults, um componente Node.js. Um atacante com permissão para criar e executar templates Scaffolder pode explorar links simbólicos (symlinks) para acessar arquivos sensíveis ou executar ações não autorizadas. A vulnerabilidade afeta versões anteriores a 0.12.2 e foi publicada em 21 de janeiro de 2026. A correção está disponível na versão 0.12.2.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a informações confidenciais e execute ações potencialmente destrutivas. Especificamente, um atacante pode ler arquivos arbitrários, como arquivos de configuração, senhas e chaves de API, através da ação debug:log. Além disso, a ação fs:delete pode ser utilizada para excluir arquivos fora do workspace, e a extração de arquivos (tar/zip) com symlinks maliciosos pode permitir a escrita de arquivos em locais inesperados. O impacto potencial é significativo, podendo levar à exposição de dados sensíveis, comprometimento do sistema e interrupção de serviços.
A vulnerabilidade foi divulgada publicamente em 21 de janeiro de 2026. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração. É recomendável monitorar a situação e implementar as medidas de mitigação o mais rápido possível.
Organizations using @backstage/backend-defaults in their development workflows, particularly those with Scaffolder templates that allow user-defined file paths, are at risk. Shared hosting environments where multiple users can create and execute Scaffolder templates are especially vulnerable.
• nodejs / server:
find /path/to/backstage/node_modules/@backstage/backend-defaults -type f -name '*.js' -exec grep -i 'debug:log' {} \;• nodejs / supply-chain:
Review Scaffolder template files for suspicious symlink usage (e.g., ../, /etc/passwd).
• generic web:
Inspect access logs for unusual file access patterns, particularly attempts to access files outside the expected workspace.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-24046 é atualizar para a versão 0.12.2 ou superior de @backstage/backend-defaults. Se a atualização imediata não for possível, considere restringir o acesso à criação e execução de templates Scaffolder, limitando os usuários que podem criar templates. Implemente validação rigorosa de entradas e sanitize todos os caminhos de arquivo para evitar a interpretação de symlinks. Monitore logs de sistema em busca de atividades suspeitas relacionadas à criação ou manipulação de symlinks. Após a atualização, confirme a correção verificando se os templates Scaffolder não conseguem mais acessar arquivos fora do workspace.
Actualice los paquetes `@backstage/backend-defaults`, `@backstage/plugin-scaffolder-backend` y `@backstage/plugin-scaffolder-node` a las versiones 0.12.2, 0.13.2, 0.14.1, y 0.15.0; 2.2.2, 3.0.2, y 3.1.1; y 0.11.2 y 0.12.3 respectivamente, o a versiones posteriores. Limite el acceso a la creación y actualización de plantillas. Restrinja quién puede crear y ejecutar plantillas de Scaffolder utilizando el marco de permisos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24046 is a Path Traversal vulnerability in @backstage/backend-defaults allowing attackers to read, delete, or write arbitrary files via symlink manipulation before version 0.12.2.
You are affected if you are using @backstage/backend-defaults versions prior to 0.12.2 and allow users to create and execute Scaffolder templates.
Upgrade to version 0.12.2 or later. If immediate upgrade is not possible, restrict user permissions and validate file paths.
There is currently no evidence of active exploitation, but the vulnerability's potential impact warrants attention.
Refer to the official Backstage security advisories for details: [https://backstage.io/security](https://backstage.io/security)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.