CVE-2021-32660

Versões do @backstage/techdocs-common anteriores à 0.6.4

Um agente interno mal-intencionado pode enviar conteúdo de documentação contendo scripts maliciosos, que normalmente seriam filtrados pelo front-end do TechDocs. No entanto, ao induzir um usuário a acessar o conteúdo por meio da API do TechDocs, a filtragem de conteúdo será contornada. Se a API do TechDocs estiver hospedada na mesma origem que o aplicativo Backstage ou outros plug-ins de back-end, isso pode dar acesso a dados confidenciais. A capacidade de enviar conteúdo malicioso pode ser limitada por processos internos de revisão de código, a menos que o método de implantação do TechDocs escolhido seja o uso de um armazenamento de objetos e o agente tenha acesso para enviar arquivos diretamente para esse armazenamento.

Para versões anteriores à 0.6.4, atualize para a versão 0.6.4 do @backstage/techdocs-common para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso à TechDocs API para minimizar o risco de exploração. Além disso, revise os processos internos de revisão de código e os métodos de implantação do TechDocs para limitar a capacidade de enviar conteúdo malicioso.