关键漏洞信息 漏洞概述 漏洞类型: SSRF (Server-Side Request Forgery) CVE ID: CVE-2026-24048 信息来源: GitHub Security Advisory - GHSA-q2x5-4xjx-c6p9 影响 组件: @backstage/backend-defaults 受影响版本: - = 0.13.0, = 0.14.0, < 0.14.1 漏洞描述: 当读取 中的允许URL时,存在可能的SSRF漏洞。 组件受此影响,该组件用于从URL获取内容,并自动跟踪HTTP重定向,允许攻击者绕过URL白名单,重定向到内部或敏感URL。 风险: 该漏洞允许访问内部资源,不包括额外的请求头。 修复版本 修复版本: 0.12.2, 0.13.2, 0.14.1, 和 0.15.0 建议: 用户应升级到这些版本或更晚的版本。 缓解措施 将 限制为仅你控制的可信主机,且不执行重定向 确保允许的主机没有开放重定向漏洞 使用网络级别控制阻止从Backstage到敏感内部端点的访问 弱点 CWE-ID: CWE-918 参考文献 OWASP SSRF Prevention Cheat Sheet