CVE-2021-43776

**Nome do software vulnerável e versões afetadas:

Versões do @backstage/plugin-auth-backend anteriores à 0.4.9

Descrição:

O plugin auth-backend no Backstage permite que um agente mal-intencionado induza outro usuário a visitar uma URL vulnerável que executa um ataque XSS, possibilitando que o invasor roube tokens de acesso ou outros segredos do navegador do usuário. A Política de Segurança de Conteúdo (CSP) padrão impede esse ataque, mas algumas implantações podem ter essas políticas desativadas devido a incompatibilidades.

Recomendações:

Para versões anteriores à 0.4.9, atualize para a versão 0.4.9 do @backstage/plugin-auth-backend para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao plugin auth-backend até que a atualização seja aplicada. Além disso, verifique e certifique-se de que a Política de Segurança de Conteúdo (CSP) esteja habilitada e configurada corretamente para minimizar o risco de exploração.