)
Backstage 存在可能的符号链接路径遍历漏洞 (CVE-2026-24046)
漏洞详情
影响
多个 Scaffolder 操作和存档提取工具容易受到基于符号链接的路径遍历攻击。能够创建和执行 Scaffolder 模板的攻击者可以利用符号链接进行以下操作:
- 通过
debug:log操作读取任意文件,通过创建指向敏感文件(如/etc/passwd、配置文件、密钥)的符号链接实现。 - 通过
fs:delete操作删除任意文件,通过创建指向工作区外部的符号链接实现。 - 通过包含恶意符号链接的存档(tar/zip)提取,在工作区外部写入文件。
此漏洞影响任何允许用户创建或执行 Scaffolder 模板的 Backstage 部署。
补丁
此漏洞已在以下软件包版本中修复:
@backstage/backend-defaults版本 0.12.2, 0.13.2, 0.14.1, 0.15.0@backstage/plugin-scaffolder-backend版本 2.2.2, 3.0.2, 3.1.1@backstage/plugin-scaffolder-node版本 0.11.2, 0.12.3
用户应升级到这些版本或更高版本。
缓解措施
- 遵循 Backstage 威胁模型中的建议,限制对创建和更新模板的访问。
- 使用权限框架限制谁可以创建和执行 Scaffolder 模板。
- 审计现有模板中符号链接的使用情况。
- 在具有有限文件系统访问权限的容器化环境中运行 Backstage。
参考
- CWE-59: 文件访问前的不当链接解析
- OWASP 路径遍历
相关链接
- GHSA-rq6q-wr2q-7pgp
- backstage/backstage@c641c14
- https://nvd.nist.gov/vuln/detail/CVE-2026-24046
| :— | :— |
|@backstage/backend-defaults(npm) | < 0.12.2
>= 0.13.0, < 0.13.2
>= 0.14.0, < 0.14.1 | 0.12.2
0.13.2
0.14.1 |
|@backstage/plugin-scaffolder-backend(npm) | < 2.2.2
>= 3.0.0, < 3.0.2
>= 3.1.0, < 3.1.1 | 2.2.2
3.0.2
3.1.1 |
|@backstage/plugin-scaffolder-node(npm) | < 0.11.2
>= 0.12.0, < 0.12.3 | 0.11.2
0.12.3 |
严重程度
- 等级:高
- CVSS 总体评分:7.1 / 10
CVSS v3 基本指标
- 攻击向量(AV):网络 (N)
- 攻击复杂度(AC):高 (H)
- 所需权限(PR):低 (L)
- 用户交互(UI):无 (N)
- 影响范围(S):已更改 ©
- 机密性影响(C):高 (H)
- 完整性影响(I):无 (N)
- 可用性影响(A):低 (L)
向量字符串:CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:L
弱点
- CWE-22:对受限目录路径名的限制不当(路径遍历)
- CWE-59:文件访问前的不当链接解析(链接跟随)
标识符
- CVE ID:CVE-2026-24046
- GHSA ID:GHSA-rq6q-wr2q-7pgp
- 源代码:backstage/backstage
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxc52iglrw1Z/pIzBK+igEDesdPbnpnXdhb978UPB6D4Kw==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
)
