HIGHCVE-2026-24046CVSS 7.1

Backstage 在 Scaffolder Actions 中存在可能的符号链接路径遍历漏洞

Q: 什么是 CVE-2026-24046 — 路径遍历漏洞在 @backstage/backend-defaults 中?

CVE-2026-24046 描述了 @backstage/backend-defaults 0.12.2 之前的版本中的路径遍历漏洞，攻击者可利用恶意符号链接访问或修改系统中的敏感文件。

Q: 我是否受到 CVE-2026-24046 在 @backstage/backend-defaults 中影响?

如果您正在使用 @backstage/backend-defaults 0.12.2 之前的版本，则可能受到此漏洞的影响。请立即升级至最新版本。

Q: 我如何修复 CVE-2026-24046 在 @backstage/backend-defaults 中?

升级至 @backstage/backend-defaults 0.12.2 或更高版本是修复此漏洞的最佳方法。

Q: CVE-2026-24046 是否正在被积极利用?

目前尚无公开的利用代码，但由于其潜在的严重性，建议尽快采取缓解措施。

Q: 在哪里可以找到 @backstage/backend-defaults 中 CVE-2026-24046 的官方公告?

请查阅 Backstage 官方安全公告：[https://backstage.io/security](https://backstage.io/security)

平台

nodejs

组件

@backstage/backend-defaults

修复版本

0.12.3

0.13.1

0.14.1

2.2.3

3.0.1

3.1.1

0.11.3

0.12.1

0.12.2

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-24046 描述了 @backstage/backend-defaults 中的路径遍历漏洞。攻击者可以通过创建和执行恶意的 Scaffolder 模板，利用符号链接来访问敏感数据或执行未经授权的操作。此漏洞影响 0.12.2 之前的版本，建议尽快升级至 0.12.2 以缓解风险。

影响与攻击场景

该漏洞允许攻击者通过符号链接绕过安全限制，访问或修改系统中的敏感文件。具体来说，攻击者可以利用 debug:log 操作读取任意文件，例如 /etc/passwd 或配置文件，从而获取敏感信息。此外，攻击者还可以利用 fs:delete 操作删除任意文件，甚至可以利用恶意符号链接将文件写入工作区之外，造成更广泛的损害。攻击者可能利用这些权限来窃取凭据、破坏系统配置或执行其他恶意活动。

利用背景

目前尚无公开的利用代码，但该漏洞的潜在影响较高，可能被安全研究人员或攻击者利用。该漏洞已于 2026 年 1 月 21 日公开披露。由于其潜在的严重性，建议尽快采取缓解措施。

哪些人处于风险中翻译中…

Organizations using @backstage/backend-defaults in their development workflows, particularly those with Scaffolder templates that allow user-defined file paths, are at risk. Shared hosting environments where multiple users can create and execute Scaffolder templates are especially vulnerable.

检测步骤翻译中…

• nodejs / server:

  find /path/to/backstage/node_modules/@backstage/backend-defaults -type f -name '*.js' -exec grep -i 'debug:log' {} \;

• nodejs / supply-chain: Review Scaffolder template files for suspicious symlink usage (e.g., ../, /etc/passwd). • generic web: Inspect access logs for unusual file access patterns, particularly attempts to access files outside the expected workspace.

攻击时间线

2026-01-21Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.02% (5% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件@backstage/backend-defaults

供应商osv

影响范围修复版本

@backstage/backend-defaults < 0.12.2 – @backstage/backend-defaults < 0.12.20.12.3

@backstage/backend-defaults >= 0.13.0, < 0.13.2 – @backstage/backend-defaults >= 0.13.0, < 0.13.20.13.1

@backstage/backend-defaults >= 0.14.0, < 0.14.1 – @backstage/backend-defaults >= 0.14.0, < 0.14.10.14.1

@backstage/plugin-scaffolder-backend < 2.2.2 – @backstage/plugin-scaffolder-backend < 2.2.22.2.3

@backstage/plugin-scaffolder-backend >= 3.0.0, < 3.0.2 – @backstage/plugin-scaffolder-backend >= 3.0.0, < 3.0.23.0.1

@backstage/plugin-scaffolder-backend >= 3.1.0, < 3.1.1 – @backstage/plugin-scaffolder-backend >= 3.1.0, < 3.1.13.1.1

@backstage/plugin-scaffolder-node < 0.11.2 – @backstage/plugin-scaffolder-node < 0.11.2

弱点分类 (CWE)

CWE-22 CWE-59

时间线

已保留2026-01-20
发布日期2026-01-21
修改日期2026-02-03
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即升级至 @backstage/backend-defaults 0.12.2 或更高版本。如果升级会破坏现有工作流程，可以考虑临时禁用 Scaffolder 的 debug:log 和 fs:delete 操作，以限制攻击面。此外，应审查所有 Scaffolder 模板，确保它们不包含恶意符号链接。在升级后，请验证系统是否不再受到路径遍历攻击，例如通过检查关键文件的完整性。

修复方法翻译中…

Actualice los paquetes `@backstage/backend-defaults`, `@backstage/plugin-scaffolder-backend` y `@backstage/plugin-scaffolder-node` a las versiones 0.12.2, 0.13.2, 0.14.1, y 0.15.0; 2.2.2, 3.0.2, y 3.1.1; y 0.11.2 y 0.12.3 respectivamente, o a versiones posteriores. Limite el acceso a la creación y actualización de plantillas. Restrinja quién puede crear y ejecutar plantillas de Scaffolder utilizando el marco de permisos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-24046 — 路径遍历漏洞在 @backstage/backend-defaults 中?