Backstage 存在可能的符号链接路径遍历漏洞 (CVE-2026-24046)
漏洞详情
影响
多个 Scaffolder 操作和存档提取工具容易受到基于符号链接的路径遍历攻击。能够创建和执行 Scaffolder 模板的攻击者可以利用符号链接进行以下操作:
- 通过
debug:log操作读取任意文件,通过创建指向敏感文件(如/etc/passwd、配置文件、密钥)的符号链接实现。 - 通过
fs:delete操作删除任意文件,通过创建指向工作区外部的符号链接实现。 - 通过包含恶意符号链接的存档(tar/zip)提取,在工作区外部写入文件。
此漏洞影响任何允许用户创建或执行 Scaffolder 模板的 Backstage 部署。
补丁
此漏洞已在以下软件包版本中修复:
-
@backstage/backend-defaults版本 0.12.2, 0.13.2, 0.14.1, 0.15.0 -
@backstage/plugin-scaffolder-backend版本 2.2.2, 3.0.2, 3.1.1 -
@backstage/plugin-scaffolder-node版本 0.11.2, 0.12.3
用户应升级到这些版本或更高版本。
缓解措施
- 遵循 Backstage 威胁模型中的建议,限制对创建和更新模板的访问。
- 使用权限框架限制谁可以创建和执行 Scaffolder 模板。
- 审计现有模板中符号链接的使用情况。
- 在具有有限文件系统访问权限的容器化环境中运行 Backstage。
参考
- CWE-59: 文件访问前的不当链接解析
- OWASP 路径遍历
相关链接
- GHSA-rq6q-wr2q-7pgp
- backstage/backstage@c641c14
- https://nvd.nist.gov/vuln/detail/CVE-2026-24046
| :--- | :--- |
| @backstage/backend-defaults (npm) | < 0.12.2
>= 0.13.0, < 0.13.2
>= 0.14.0, < 0.14.1 | 0.12.2
0.13.2
0.14.1 |
| @backstage/plugin-scaffolder-backend (npm) | < 2.2.2
>= 3.0.0, < 3.0.2
>= 3.1.0, < 3.1.1 | 2.2.2
3.0.2
3.1.1 |
| @backstage/plugin-scaffolder-node (npm) | < 0.11.2
>= 0.12.0, < 0.12.3 | 0.11.2
0.12.3 |
严重程度
- 等级: 高
- CVSS 总体评分: 7.1 / 10
CVSS v3 基本指标
- 攻击向量(AV): 网络 (N)
- 攻击复杂度(AC): 高 (H)
- 所需权限(PR): 低 (L)
- 用户交互(UI): 无 (N)
- 影响范围(S): 已更改 (C)
- 机密性影响(C): 高 (H)
- 完整性影响(I): 无 (N)
- 可用性影响(A): 低 (L)
向量字符串: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:L
弱点
- CWE-22: 对受限目录路径名的限制不当(路径遍历)
- CWE-59: 文件访问前的不当链接解析(链接跟随)
标识符
- CVE ID: CVE-2026-24046
- GHSA ID: GHSA-rq6q-wr2q-7pgp
-
源代码: backstage/backstage
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxc52iglrw1Z/pIzBK+igEDesdPbnpnXdhb978UPB6D4Kw==
