Backstage — это открытая среда для создания порталов для разработчиков. До версии 3.1.5 прошедшие проверку подлинности пользователи с разрешением на выполнение пробных прогонов scaffolder могли получить доступ к секретам среды, настроенной на сервере, через ответ API пробного прогона. Секреты корректно редактируются в выводе журнала, но не во всех частях полезных данных ответа.
Это затрагивает развертывания, в которых настроен scaffolder.defaultEnvironment.secrets. Это исправлено в @backstage/plugin-scaffolder-backend версии 3.1.5.
Показать оригинальное описание (EN)
Backstage is an open framework for building developer portals. Prior to 3.1.5, authenticated users with permission to execute scaffolder dry-runs can gain access to server-configured environment secrets through the dry-run API response. Secrets are properly redacted in log output but not in all parts of the response payload. Deployments that have configured scaffolder.defaultEnvironment.secrets are affected. This is patched in @backstage/plugin-scaffolder-backend version 3.1.5.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Linuxfoundation Backstage
cpe:2.3:a:linuxfoundation:backstage:*:*:*:*:*:*:*:*
|
3.1.0
|
3.1.5
|