CVE-2026-24046

Nome do Software Vulnerável e Versões Afetadas Versões do Backstage anteriores a 0.12.2, 0.13.2, 0.14.1 e 0.15.0 Versões do @backstage/plugin-scaffolder-backend anteriores a 2.2.2, 3.0.2 e 3.1.1 Versões do @backstage/plugin-scaffolder-node anteriores a 0.11.2 e 0.12.3

Descrição O software é suscetível a ataques de traversão de caminho baseados em links simbólicos. Um atacante que possa criar e executar templates do Scaffolder pode explorar links simbólicos para ler arquivos arbitrários via ação debug:log, excluir arquivos arbitrários via ação fs:delete e gravar arquivos fora do workspace através da extração de arquivos (tar/zip) contendo links simbólicos maliciosos. Isso impacta qualquer implantação onde os usuários possam criar ou executar templates do Scaffolder. A ação debug:log pode ser explorada criando um link simbólico apontando para arquivos sensíveis, como /etc/passwd, arquivos de configuração e segredos. A ação fs:delete pode ser explorada criando links simbólicos apontando para fora do workspace. Utilitários de extração de arquivos são vulneráveis a links simbólicos maliciosos dentro de arquivos tar ou zip.

Recomendações Atualize o @backstage/backend-defaults para a versão 0.12.2, 0.13.2, 0.14.1 ou 0.15.0. Atualize o @backstage/plugin-scaffolder-backend para a versão 2.2.2, 3.0.2 ou 3.1.1. Atualize o @backstage/plugin-scaffolder-node para a versão 0.11.2 ou 0.12.3. Limite o acesso à criação e atualização de templates. Restrinja quem pode criar e executar templates do Scaffolder usando o framework de permissões. Audite os templates existentes quanto ao uso de links simbólicos. Execute o Backstage em um ambiente containerizado com acesso limitado ao sistema de arquivos.