Backstage — это открытая среда для создания порталов для разработчиков. До версии 3.1.5 прошедшие проверку подлинности пользователи с разрешением на выполнение пробных прогонов scaffolder могли получить доступ к секретам среды, настроенной на сервере, через ответ API пробного прогона. Секреты корректно редактируются в выводе журнала, но не во всех частях полезных данных ответа.
Это затрагивает развертывания, в которых настроен scaffolder.defaultEnvironment.secrets. Это исправлено в @backstage/plugin-scaffolder-backend версии 3.1.5.
Показать оригинальное описание (EN)
Backstage is an open framework for building developer portals. Prior to 3.1.5, authenticated users with permission to execute scaffolder dry-runs can gain access to server-configured environment secrets through the dry-run API response. Secrets are properly redacted in log output but not in all parts of the response payload. Deployments that have configured scaffolder.defaultEnvironment.secrets are affected. This is patched in @backstage/plugin-scaffolder-backend version 3.1.5.
Характеристики атаки
Последствия
Строка CVSS v3.1