Vulnerabilidad en Plugin Orchestrator de Red Hat Developer Hub (Backstage) (CVE-2026-3118)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

25/02/2026

Última modificación:

22/04/2026

Descripción

Se identificó un fallo de seguridad en el Plugin Orchestrator de Red Hat Developer Hub (Backstage). El problema ocurre debido a una validación de entrada insuficiente en el manejo de consultas GraphQL. Un usuario autenticado puede inyectar una entrada especialmente diseñada en las solicitudes de la API, lo que interrumpe el procesamiento de consultas del backend. Esto resulta en que la aplicación Backstage completa colapse y se reinicie, lo que lleva a una Denegación de Servicio (DoS) en toda la plataforma. Como resultado, los usuarios legítimos pierden temporalmente el acceso a la plataforma.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto