CVE-2021-32661

Versões do @backstage/plugin-techdocs anteriores à 0.9.5

Um agente mal-intencionado interno pode potencialmente enviar conteúdo de documentação com scripts maliciosos, incorporando o script dentro de um elemento object. Isso pode dar acesso a dados confidenciais quando outros usuários visitarem essa mesma página de documentação. A capacidade de enviar conteúdo malicioso pode ser limitada por processos internos de revisão de código, a menos que o método de implantação do TechDocs escolhido seja o uso de um armazenamento de objetos e o agente tenha acesso para enviar arquivos diretamente para esse armazenamento.

Para versões anteriores à 0.9.5, atualize para a versão 0.9.5 do @backstage/plugin-techdocs para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao upload direto de arquivos para o armazenamento de objetos e implementar processos rigorosos de revisão de código interno para minimizar o risco de exploração.