Backstage — это открытая платформа для создания порталов разработчиков, а @backstage/plugin-techdocs-node предоставляет общие функции node.js для TechDocs. В версиях @backstage/plugin-techdocs-node до 1.13.11 и 1.14.1, когда TechDocs настроен с помощью `runIn: local`, злоумышленник, который может отправить или изменить файл `mkdocs.yml` репозитория, может выполнить произвольный код Python на сервере сборки TechDocs через конфигурацию перехватчиков MkDocs. Версии @backstage/plugin-techdocs-node 1.13.11 и 1.14.1 содержат исправление.
Исправление вводит белый список поддерживаемых ключей конфигурации MkDocs. Неподдерживаемые ключи конфигурации (включая «перехватчики») теперь удаляются из «mkdocs.yml» перед запуском генератора, при этом в журнал записывается предупреждение, указывающее, какие ключи были удалены. Пользователям `@techdocs/cli` также следует обновиться до последней версии, которая включает исправленную зависимость `@backstage/plugin-techdocs-node`.
Доступны некоторые обходные пути. Настройте TechDocs с помощью `runIn: docker` вместо `runIn: local`, чтобы обеспечить изоляцию контейнера, хотя это не полностью снижает риск. Ограничить тех, кто может изменять файлы `mkdocs.yml` в репозиториях, которые обрабатывает TechDocs; разрешать только доверенным участникам.
Внедрить требования по PR-проверке изменений в файлах mkdocs.yml для обнаружения вредоносных конфигураций «перехватчиков» перед их объединением. Используйте MkDocs < 1.4.0 (например, 1.3.1), который не поддерживает перехватчики. Примечание.
Это может ограничить доступ к новым функциям MkDocs. Создание документации в конвейерах CI/CD с использованием @techdocs/cli не устраняет эту уязвимость, поскольку CLI использует тот же уязвимый пакет @backstage/plugin-techdocs-node.
Показать оригинальное описание (EN)
Backstage is an open framework for building developer portals, and @backstage/plugin-techdocs-node provides common node.js functionalities for TechDocs. In versions of @backstage/plugin-techdocs-node prior to 1.13.11 and 1.14.1, when TechDocs is configured with `runIn: local`, a malicious actor who can submit or modify a repository's `mkdocs.yml` file can execute arbitrary Python code on the TechDocs build server via MkDocs hooks configuration. @backstage/plugin-techdocs-node versions 1.13.11 and 1.14.1 contain a fix. The fix introduces an allowlist of supported MkDocs configuration keys. Unsupported configuration keys (including `hooks`) are now removed from `mkdocs.yml` before running the generator, with a warning logged to indicate which keys were removed. Users of `@techdocs/cli` should also upgrade to the latest version, which includes the fixed `@backstage/plugin-techdocs-node` dependency. Some workarounds are available. Configure TechDocs with `runIn: docker` instead of `runIn: local` to provide container isolation, though it does not fully mitigate the risk. Limit who can modify `mkdocs.yml` files in repositories that TechDocs processes; only allow trusted contributors. Implement PR review requirements for changes to `mkdocs.yml` files to detect malicious `hooks` configurations before they are merged. Use MkDocs < 1.4.0 (e.g., 1.3.1) which does not support hooks. Note: This may limit access to newer MkDocs features. Building documentation in CI/CD pipelines using `@techdocs/cli` does not mitigate this vulnerability, as the CLI uses the same vulnerable `@backstage/plugin-techdocs-node` package.
Характеристики атаки
Последствия
Строка CVSS v3.1