CVE-2023-35926 in Backstage Scaffolder Plugininformación

Resumen

por VulDB • 2026-07-11

Backstage es una plataforma de código abierto para la creación de portales para desarrolladores. El plugin scaffolder-backend de Backstage utiliza una biblioteca de plantillas que requiere un entorno aislado (sandbox), ya que, por diseño, permite la inyección de código. La biblioteca utilizada hasta ahora para este sandbox ha sido `vm2`, pero debido a varias vulnerabilidades pasadas y existentes que podrían no tener solución, el plugin ha cambiado al uso de una biblioteca de aislamiento diferente. Un actor malicioso con acceso de escritura en una plantilla scaffolder registrada podría manipular la plantilla de manera que permita la ejecución remota de código (RCE) en la instancia de scaffolder-backend. Esto solo era explotable mediante la propia definición YAML de la plantilla y no a través de datos introducidos por el usuario. Esta vulnerabilidad está corregida en la versión 1.15.0 de `@backstage/plugin-scaffolder-backend`.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub, Inc.

Reservar

2023-06-20

Divulgación

2023-06-22

Moderación

aceptado

Artículo

VDB-232112

CPE

listo

EPSS

0.01888

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!