Новости Обнаружена опасная RCE-уязвимость в Backstage от Spotify

[NewsMaker]

Исследователи Oxeye обнаружили более 500 открытых экземпляров Backstage, которые могли быть использованы злоумышленниками.​

---

---

Согласно Для просмотра ссылки Войди или Зарегистрируйся компании Oxeye, Для просмотра ссылки Войди или Зарегистрируйся -уязвимость (имеет оценку 9.8 из 10 по шкале CVSS), позволяющая злоумышленнику “сбежать из песочницы vm2” в плагине ядра Scaffolder – это CVE-2022-36067 или Sandbreak, о которой мы Для просмотра ссылки Войди или Зарегистрируйся в прошлом месяце.

Как говорят эксперты компании, брешь в защите кроется в инструменте под названием “software templates”, который используется для создания компонентов в Backstage. Поэтому, в то время как шаблонизатор использует vm2 для снижения рисков, связанных с запуском ненадежного кода, Sandbreak позволяет выполнять произвольные шелл-команды в системе жертвы.

Oxeye заявила, что ей удалось обнаружить в Сети более 500 открытых экземпляров Backstage, которые могли быть удаленно использованы злоумышленниками без какой-либо авторизации.

Известно, что уязвимость была устранена сопровождающими Backstage уже давно – в версии 1.5.1, выпущенной 29 августа 2022 года.