发现云开发工具包 Backstage 中的远程代码执行漏洞 媒体
Backstage Vulnerability:远程代码执行风险
关键要点
开源开发工具 Backstage 存在可导致远程代码执行的漏洞。该漏洞由云安全公司 Oxeye 报告,CVSS 分数为 98。漏洞影响众多组织,包括 Spotify、美国航空、Netflix 和 Splunk。Spotify 已在版本 151 中修复了此漏洞。近期,云安全公司 Oxeye 报告称,流行的云开发工具 Backstage 存在一个严重的漏洞,该漏洞可能导致远程代码执行RCE。该工具最初由 Spotify 开发,目前已在 GitHub 上开源。Backstage 是一个用于构建开发者门户的开放平台。
在 Oxeye 于 11 月 15 日的 博文 中,研究人员表示,他们通过 “利用 vm2 第三方库中的 VM 沙盒逃逸” 来实现远程代码执行。该漏洞的 CVSS 分数为 98,已报告给 Spotify,并在版本 151 中得到了修复。
组织名称使用 BackstageSpotify是美国航空是Netflix是Splunk是此外,Oxeye 指出,除了 Spotify,其他使用 Backstage 的组织还包括美国航空、Netflix 和 Splunk等,他们将系统集成,如 Prometheus、Jira 和 ElasticSearch,这可能会危及这些服务及其持有的数据。
根据 Sophos 的 Naked Security 博客,该漏洞的产生依赖于一系列编码缺陷,最终取决于一个特定的漏洞,编号为 CVE202236067,影响 Backstage 所依赖的供应链组件 vm2。该漏洞在八月份被 Oxeye 报告,并已在 vm2 团队的修复中得到修复。
一元机场续费