PT-2024-32800 · Unknown · @Backstage/Plugin-App-Backend
Rugvip
·
Publicado
2024-10-03
·
Atualizado
2024-10-04
·
CVE-2024-47762
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do @backstage/plugin-app-backend anteriores à 0.3.75
Descrição
O problema diz respeito à configuração fornecida por meio das variáveis de ambiente
APP CONFIG *, nas quais a visibilidade definida no esquema de configuração é inesperadamente ignorada. Esse comportamento acarreta o risco de expor detalhes confidenciais da configuração que deveriam permanecer privados ou restritos aos processos de backend.Recomendações
Para versões anteriores à 0.3.75, atualize para a versão 0.3.75 do pacote @backstage/plugin-app-backend para mitigar o problema.
Como medida temporária, evite fornecer segredos usando o padrão de configuração
APP CONFIG .Considere métodos alternativos para definir segredos, como a substituição de variáveis de ambiente disponível para a configuração do Backstage.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Backstage/Plugin-App-Backend