CVE-2023-35926 in Backstage Scaffolder Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Backstage ist eine offene Plattform zum Erstellen von Entwicklerportalen. Das Backstage-Plugin „scaffolder-backend“ verwendet eine Template-Bibliothek, die einen Sandbox-Mechanismus erfordert, da sie per Design Code-Injection ermöglicht. Die bisher für diese Sandbox verwendete Bibliothek war `vm2`. Angesichts mehrerer früherer Schwachstellen und bestehender Sicherheitslücken, für die möglicherweise kein Fix verfügbar ist, hat das Plugin den Wechsel zu einer anderen Sandbox-Bibliothek vollzogen. Ein böswilliger Akteur mit Schreibzugriff auf eine registrierte Scaffolder-Vorlage könnte diese so manipulieren, dass Remote Code Execution (RCE) auf der Instanz von scaffolder-backend ermöglicht wird. Dies war ausschließlich in der YAML-Definition der Vorlage selbst ausnutzbar und nicht über Benutzereingabedaten. Diese Schwachstelle wurde in Version 1.15.0 von `@backstage/plugin-scaffolder-backend` behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

20.06.2023

Veröffentlichung

22.06.2023

Moderieren

akzeptiert

Eintrag

VDB-232112

CPE

bereit

EPSS

0.01888

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!