一、 漏洞 CVE-2024-45816 基础信息
漏洞标题
在@backstage/plugin-techdocs-backend中,存在存储桶目录遍历问题
来源:AIGC 神龙大模型
漏洞描述信息
"Backstage"是一个用于构建开发者门户的开放框架。当使用AWS S3或GCS存储提供商为TechDocs服务时,有可能访问整个存储桶中的所有内容。这可能会泄露那些并非设计供访问的存储桶内容,也可能绕过Backstage的权限检查。这个问题已经在" @backstage/plugin-techdocs-backend"包的1.10.13版本中得到了修复。所有用户都建议进行升级。目前没有已知的可替代方案来解决此漏洞。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制缺失
来源:AIGC 神龙大模型
漏洞标题
Storage bucket Directory Traversal in @backstage/plugin-techdocs-backend
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Backstage is an open framework for building developer portals. When using the AWS S3 or GCS storage provider for TechDocs it is possible to access content in the entire storage bucket. This can leak contents of the bucket that are not intended to be accessible, as well as bypass permission checks in Backstage. This has been fixed in the 1.10.13 release of the `@backstage/plugin-techdocs-backend` package. All users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
相对路径遍历
来源:美国国家漏洞数据库 NVD
漏洞标题
Backstage 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Backstage是Backstage开源的一个应用软件。后台是一个开放的平台,用于构建开发者门户。 Backstage 1.10.13之前版本存在安全漏洞,该漏洞源于使用AWS S3或GCS存储提供者用于TechDocs时,可能会访问到整个存储桶的内容,这可能导致泄露存储桶内非意图可访问的内容,并绕过Backstage中的权限检查。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-45816 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-45816 的情报信息
-
标题: Storage bucket Directory Traversal in TechDocs · Advisory · backstage/backstage · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-45816