漏洞关键信息 漏洞类型: 可能的符号链接路径遍历(Symlink Path Traversal) CVE ID: CVE-2026-24046 严重性: High (CVSS: 7.1) 受影响的包及版本: - : = 0.13.0, = 0.14.0, = 3.0.0, = 3.1.0, = 0.12.0, < 0.12.3 已修复版本: - : 0.12.2, 0.13.2, 0.14.1 - : 2.2.2, 3.0.2, 3.1.1 - : 0.11.2, 0.12.3 影响 多个Scaffolder操作和存档提取工具存在基于符号链接的路径遍历攻击漏洞。 攻击者可以通过创建和执行恶意的Scaffolder模板来利用符号链接执行以下操作: 1. 通过 操作读取任意文件。 2. 通过 操作删除任意文件。 3. 通过包含恶意符号链接的存档提取(tar/zip)在工作空间外写入文件。 解决方案和缓解措施 补丁: 升级到上述已修复版本。 缓解措施: - 根据Backstage Threat Model 的推荐限制访问创建和更新模板的权限。 - 使用权限框架限制能够创建和执行Scaffolder模板的人员。 - 审查现有模板中符号链接的使用情况。 - 在有限文件系统访问权限的容器环境中运行Backstage。