Vulnerabilidad en Backstage Scaffolder (CVE-2025-32791)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

16/04/2025

Última modificación:

17/04/2025

Descripción

El complemento Backstage Scaffolder, aloja tipos y utilidades para crear módulos relacionados con el scaffolder. Una vulnerabilidad en el backend del complemento de permisos de Backstage permite a los usuarios extraer información sobre las decisiones condicionales devueltas por la política de permisos instalada en el backend. Si el sistema de permisos no está en uso o si la política de permisos instalada no utiliza decisiones condicionales, no hay impacto. Este problema se ha corregido en la versión 0.6.0 del backend de permisos. Un workaround consiste en que los administradores de las políticas de permisos se aseguren de que estén manipuladas de forma que las decisiones condicionales no contengan información confidencial.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/backstage/backstage/security/advisories/GHSA-f8j4-p5cr-p777