CVE-2026-25153

Nome do Software Vulnerável e Versões Afetadas Versões do Backstage anteriores a 1.13.11 e versões anteriores a 1.14.1

Descrição O componente @backstage/plugin-techdocs-node do Backstage, utilizado para TechDocs, é suscetível à execução remota de código. Quando o TechDocs está configurado para ser executado localmente (runIn: local), um agente malicioso que possa modificar o arquivo mkdocs.yml de um repositório pode executar código Python arbitrário no servidor de build do TechDocs por meio da configuração de hooks do MkDocs. O problema decorre da ausência de restrições nas chaves de configuração permitidas no arquivo mkdocs.yml. A correção introduz uma lista de permissões de chaves de configuração do MkDocs suportadas, removendo chaves não suportadas, incluindo hooks, antes de executar o gerador. Como alternativa, configurar o TechDocs para ser executado em um contêiner Docker (runIn: docker) oferece isolamento por contêiner, embora não mitigue totalmente o risco. Limitar o acesso para modificar arquivos mkdocs.yml e implementar requisitos de revisão de PR (pull request) para alterações nesses arquivos também pode ajudar a detectar configurações maliciosas. Usar versões do MkDocs anteriores a 1.4.0, como a 1.3.1, também pode mitigar o problema, embora possa limitar o acesso a recursos mais recentes do MkDocs.

Recomendações Atualize o @backstage/plugin-techdocs-node para a versão 1.13.11 ou 1.14.1. Configure o TechDocs com runIn: docker em vez de runIn: local. Restrinja o acesso para modificar arquivos mkdocs.yml apenas a colaboradores confiáveis. Implemente requisitos de revisão de PR (pull request) para alterações nos arquivos mkdocs.yml. Use a versão 1.3.1 ou anterior do MkDocs.