В плагине Orchestrator в Red Hat Developer Hub (Backstage) была обнаружена уязвимость безопасности. Проблема возникает из-за недостаточной проверки входных данных при обработке запросов GraphQL. Аутентифицированный пользователь может вставлять в запросы API специально созданные входные данные, что нарушает обработку серверных запросов.
Это приводит к сбою и перезапуску всего приложения Backstage, что приводит к отказу в обслуживании (DoS) на всей платформе. В результате законные пользователи временно теряют доступ к платформе.
Показать оригинальное описание (EN)
A security flaw was identified in the Orchestrator Plugin of Red Hat Developer Hub (Backstage). The issue occurs due to insufficient input validation in GraphQL query handling. An authenticated user can inject specially crafted input into API requests, which disrupts backend query processing. This results in the entire Backstage application crashing and restarting, leading to a platform-wide Denial of Service (DoS). As a result, legitimate users temporarily lose access to the platform.
Характеристики атаки
Последствия
Строка CVSS v3.1