从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Server-side request forgery in Backstage Scaffolder plugin 2. 漏洞描述: - 影响:Backstage Scaffolder插件的模板功能存在漏洞,允许攻击者利用Server-Side Template Injection (SSTI)进行Git配置注入。 - 攻击方式:攻击者可以捕获Backstage插件使用的Git令牌,未经授权访问敏感资源。 - 影响程度:中等,Backstage Threat Model建议限制在Backstage Catalog插件中添加和编辑模板。 3. 受影响版本: - @backstage/plugin-scaffolder-node - <0.4.12 - 0.5.0 - 0.6.0 - 0.4.12 - 0.5.1 - 0.6.1 4. 修复版本: - 0.4.12 - 0.5.1 - 0.6.1 5. 漏洞严重性:中等(Moderate) 6. CVSS v3 base metrics: - Attack vector:Network - Attack complexity:High - Privileges required:High - User interaction:Required - Scope:Changed - Confidentiality:High - Integrity:None - Availability:None 7. CVE ID:CVE-2024-53983 8. Weaknesses:CWE-918 9. 建议: - 更新到修复版本:0.4.12、0.5.1、0.6.1 - 工作绕过:确保模板不更改git配置 - 参考资料:Backstage repository、Backstage README