Vulnerabilidad en Backstage (CVE-2026-24048)

Backstage es un framework abierto para construir portales de desarrolladores, y @backstage/backend-defaults proporciona las implementaciones y configuración predeterminadas para una aplicación backend estándar de Backstage. Antes de las versiones 0.12.2, 0.13.2, 0.14.1 y 0.15.0, el componente 'FetchUrlReader', utilizado por el catálogo y otros plugins para obtener contenido de URLs, seguía las redirecciones HTTP automáticamente. Esto permitía a un atacante que controla un host listado en 'backend.reading.allow' redirigir peticiones a URLs internas o sensibles que no están en la lista de permitidos, eludiendo el control de seguridad de la lista de permitidos de URLs. Esta es una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) que podría permitir el acceso a recursos internos, pero no permite a los atacantes incluir encabezados de petición adicionales. Esta vulnerabilidad está corregida en la versión 0.12.2, 0.13.2, 0.14.1 y 0.15.0 de '@backstage/backend-defaults'. Los usuarios deberían actualizar a esta versión o posterior. Hay disponibles algunas soluciones alternativas. Restrinja 'backend.reading.allow' solo a hosts de confianza que usted controle y que no emitan redirecciones, asegúrese de que los hosts permitidos no tengan vulnerabilidades de redirección abierta, y/o utilice controles a nivel de red para bloquear el acceso desde Backstage a puntos finales internos sensibles.