企业官网建设流程全解析

做vip兼职设计师的网站有哪些,五大免费资源网站,贵州普安县建设局网站,深圳网站公司建设Backstage 存在可能的符号链接路径遍历漏洞 (CVE-2026-24046) 漏洞详情 影响 多个 Scaffolder 操作和存档提取工具容易受到基于符号链接的路径遍历攻击。能够创建和执行 Scaffolder 模板的攻击者可以利用符号链接进行以下操作#xff1a; 通过 debug:log 操作读取任意文件通过debug:log操作读取任意文件通过创建指向敏感文件如/etc/passwd、配置文件、密钥的符号链接实现。通过fs:delete操作删除任意文件通过创建指向工作区外部的符号链接实现。通过包含恶意符号链接的存档tar/zip提取在工作区外部写入文件。此漏洞影响任何允许用户创建或执行 Scaffolder 模板的 Backstage 部署。补丁此漏洞已在以下软件包版本中修复backstage/backend-defaults版本 0.12.2, 0.13.2, 0.14.1, 0.15.0backstage/plugin-scaffolder-backend版本 2.2.2, 3.0.2, 3.1.1backstage/plugin-scaffolder-node版本 0.11.2, 0.12.3用户应升级到这些版本或更高版本。缓解措施遵循 Backstage 威胁模型中的建议限制对创建和更新模板的访问。使用权限框架限制谁可以创建和执行 Scaffolder 模板。审计现有模板中符号链接的使用情况。在具有有限文件系统访问权限的容器化环境中运行 Backstage。参考CWE-59: 文件访问前的不当链接解析OWASP 路径遍历相关链接GHSA-rq6q-wr2q-7pgpbackstage/backstagec641c14https://nvd.nist.gov/vuln/detail/CVE-2026-24046| :— | :— ||backstage/backend-defaults(npm) | 0.12.2 0.13.0, 0.13.2 0.14.0, 0.14.1 | 0.12.20.13.20.14.1 ||backstage/plugin-scaffolder-backend(npm) | 2.2.2 3.0.0, 3.0.2 3.1.0, 3.1.1 | 2.2.23.0.23.1.1 ||backstage/plugin-scaffolder-node(npm) | 0.11.2 0.12.0, 0.12.3 | 0.11.20.12.3 |严重程度等级高CVSS 总体评分7.1 / 10CVSS v3 基本指标攻击向量AV网络 (N)攻击复杂度AC高 (H)所需权限PR低 (L)用户交互UI无 (N)影响范围S已更改 ©机密性影响C高 (H)完整性影响I无 (N)可用性影响A低 (L)向量字符串CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:L弱点CWE-22:对受限目录路径名的限制不当路径遍历CWE-59:文件访问前的不当链接解析链接跟随标识符CVE ID:CVE-2026-24046GHSA ID:GHSA-rq6q-wr2q-7pgp源代码:backstage/backstageglyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxc52iglrw1Z/pIzBKigEDesdPbnpnXdhb978UPB6D4Kw更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享