CVE-2024-45815

Nome do software vulnerável e versões afetadas:

Versões do @backstage/plugin-catalog-backend anteriores à 1.26.0

Descrição:

Um agente mal-intencionado com acesso autenticado a uma instância do Backstage com o plugin de backend do catálogo instalado pode interromper o serviço usando uma consulta especialmente criada para a API do catálogo. Esta vulnerabilidade está relacionada a uma modificação descontrolada dos atributos do protótipo do objeto, que pode ser explorada por um invasor remoto para causar uma negação de serviço ao enviar uma solicitação de API especialmente criada.

Recomendações:

Para versões anteriores à 1.26.0, atualize para a versão 1.26.0 do pacote @backstage/plugin-catalog-backend para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso à API do catálogo para minimizar o risco de exploração. Não há soluções alternativas conhecidas para este problema além da atualização para a versão corrigida.