CVE-2021-43783

**Nome do software vulnerável e versões afetadas:

Versões do @backstage/plugin-scaffolder-backend anteriores à 0.15.14

Descrição:

Um agente mal-intencionado com acesso de gravação a um modelo de scaffolder registrado pode manipular o modelo para gravar arquivos em caminhos arbitrários na instância do host do scaffolder-backend. Essa vulnerabilidade também pode ser explorada por meio de entradas do usuário ao executar um modelo, embora esse método não permita o controle do conteúdo do arquivo injetado, a menos que o modelo tenha sido especificamente criado para fornecer tal controle.

Recomendações:

Para versões anteriores à 0.15.14, atualize para a versão 0.15.14 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso e exigir revisões ao registrar ou modificar modelos do scaffolder para mitigar o ataque.