Vulnerabilidad en Backstage (CVE-2024-47762)

Backstage es un framework abierto para crear portales para desarrolladores. La configuración suministrada a través de las variables de entorno APP_CONFIG_*, por ejemplo APP_CONFIG_backend_listen_port=7007, ignoraba inesperadamente la visibilidad definida en el esquema de configuración. Esto ocurría incluso si el esquema de configuración especificaba que debían tener visibilidad secreta o de backend. Esta era una característica prevista de la forma APP_CONFIG_* de suministrar configuración, pero ahora claramente va en contra del comportamiento esperado del sistema de configuración. Este comportamiento conlleva un riesgo de exponer potencialmente detalles de configuración confidenciales que se pretende que permanezcan privados o restringidos a los procesos de backend. El problema se ha resuelto en la versión 0.3.75 del paquete @backstage/plugin-app-backend. Como medida temporal, evite suministrar secretos mediante el patrón de configuración APP_CONFIG_. Considere métodos alternativos para configurar secretos, como la sustitución de entorno disponible para la configuración de Backstage.