Vulnerabilidad en Backstage Scaffolder (CVE-2024-53983)

El complemento Backstage Scaffolder contiene tipos y utilidades para crear módulos relacionados con el scaffolder. Se ha identificado una vulnerabilidad en la funcionalidad de plantilla de Backstage Scaffolder, en la que se puede explotar Server-Side Template Injection (SSTI) para realizar una inyección de configuración de Git. La vulnerabilidad permite a un atacante capturar tokens de Git privilegiados utilizados por el complemento Backstage Scaffolder. Con estos tokens, se puede lograr acceso no autorizado a recursos confidenciales en Git. El impacto se considera de gravedad media, ya que el modelo de amenazas de Backstage recomienda restringir el acceso para agregar y editar plantillas en el complemento Backstage Catalog. El problema se ha resuelto en las versiones `v0.4.12`, `v0.5.1` y `v0.6.1` del paquete `@backstage/plugin-scaffolder-node`. Se recomienda a los usuarios que actualicen a esta versión para mitigar la vulnerabilidad. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden asegurarse de que las plantillas no cambien la configuración de Git.