Backstage Scaffolder 操作存在符号链接路径遍历漏洞 (CVE-2026-24046)

Backstage 存在可能的符号链接路径遍历漏洞 (CVE-2026-24046)

漏洞详情

影响
多个 Scaffolder 操作和存档提取工具容易受到基于符号链接的路径遍历攻击。能够创建和执行 Scaffolder 模板的攻击者可以利用符号链接进行以下操作：

• 通过debug:log操作读取任意文件，通过创建指向敏感文件（如/etc/passwd、配置文件、密钥）的符号链接实现。
• 通过fs:delete操作删除任意文件，通过创建指向工作区外部的符号链接实现。
• 通过包含恶意符号链接的存档（tar/zip）提取，在工作区外部写入文件。

此漏洞影响任何允许用户创建或执行 Scaffolder 模板的 Backstage 部署。

补丁
此漏洞已在以下软件包版本中修复：

• @backstage/backend-defaults版本 0.12.2, 0.13.2, 0.14.1, 0.15.0
• @backstage/plugin-scaffolder-backend版本 2.2.2, 3.0.2, 3.1.1
• @backstage/plugin-scaffolder-node版本 0.11.2, 0.12.3

用户应升级到这些版本或更高版本。

缓解措施

• 遵循 Backstage 威胁模型中的建议，限制对创建和更新模板的访问。
• 使用权限框架限制谁可以创建和执行 Scaffolder 模板。
• 审计现有模板中符号链接的使用情况。
• 在具有有限文件系统访问权限的容器化环境中运行 Backstage。

参考

• CWE-59: 文件访问前的不当链接解析
• OWASP 路径遍历

相关链接

• GHSA-rq6q-wr2q-7pgp
• backstage/backstage@c641c14
• https://nvd.nist.gov/vuln/detail/CVE-2026-24046

| :— | :— |
|@backstage/backend-defaults(npm) | < 0.12.2
>= 0.13.0, < 0.13.2
>= 0.14.0, < 0.14.1 | 0.12.2
0.13.2
0.14.1 |
|@backstage/plugin-scaffolder-backend(npm) | < 2.2.2
>= 3.0.0, < 3.0.2
>= 3.1.0, < 3.1.1 | 2.2.2
3.0.2
3.1.1 |
|@backstage/plugin-scaffolder-node(npm) | < 0.11.2
>= 0.12.0, < 0.12.3 | 0.11.2
0.12.3 |

严重程度

• 等级：高
• CVSS 总体评分：7.1 / 10

CVSS v3 基本指标

• 攻击向量（AV）：网络 (N)
• 攻击复杂度（AC）：高 (H)
• 所需权限（PR）：低 (L)
• 用户交互（UI）：无 (N)
• 影响范围（S）：已更改 ©
• 机密性影响（C）：高 (H)
• 完整性影响（I）：无 (N)
• 可用性影响（A）：低 (L)

向量字符串：CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:L

弱点

• CWE-22:对受限目录路径名的限制不当（路径遍历）
• CWE-59:文件访问前的不当链接解析（链接跟随）

标识符

• CVE ID:CVE-2026-24046
• GHSA ID:GHSA-rq6q-wr2q-7pgp
• 源代码:backstage/backstage
  glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxc52iglrw1Z/pIzBK+igEDesdPbnpnXdhb978UPB6D4Kw==
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）