PT-2024-21301 · Npm · @Backstage/Backend-Common
Benjdlambert
·
Publicado
2024-02-23
·
Atualizado
2024-02-27
·
CVE-2024-26150
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do @backstage/backend-common anteriores à 0.21.1
Versões do @backstage/backend-common anteriores à 0.20.2
Versões do @backstage/backend-common anteriores à 0.19.10
Descrição
O problema diz respeito à biblioteca
@backstage/backend-common, na qual as verificações de caminhos com o utilitário resolveSafeChildPath não eram exaustivas o suficiente, levando a um risco de vulnerabilidades de traversal de caminho caso links simbólicos pudessem ser injetados por invasores.Recomendações
Para versões anteriores à 0.21.1, atualize para a versão 0.21.1 ou posterior.
Para versões anteriores à 0.20.2, atualize para a versão 0.20.2 ou posterior.
Para versões anteriores à 0.19.10, atualize para a versão 0.19.10 ou posterior.
Como solução alternativa temporária, considere restringir o uso do utilitário
resolveSafeChildPath até que um patch seja aplicado.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Backstage/Backend-Common