CVE-2026-24047

Backstage is an open framework for building developer portals, and @backstage/cli-common provides config loading functionality used by the backend and command line interface of Backstage. Prior to version 0.1.17, the `resolveSafeChildPath` utility function in `@backstage/backend-plugin-api`, which is used to prevent path traversal attacks, failed to properly validate symlink chains and dangling symlinks. An attacker could bypass the path validation via symlink chains (creating `link1 → link2 → /outside` where intermediate symlinks eventually resolve outside the allowed directory) and dangling symlinks (creating symlinks pointing to non-existent paths outside the base directory, which would later be created during file operations). This function is used by Scaffolder actions and other backend components to ensure file operations stay within designated directories. This vulnerability is fixed in `@backstage/backend-plugin-api` version 0.1.17. Users should upgrade to this version or later. Some workarounds are available. Run Backstage in a containerized environment with limited filesystem access and/or restrict template creation to trusted users.

CVSS v3 6.3 MEDIUM

6.3^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.8 / Impact : 4.0

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope CHANGED

References

Link	Resource
https://github.com/backstage/backstage/commit/ae4dd5d1572a4f639e1a466fd982656b50f8e692
https://github.com/backstage/backstage/security/advisories/GHSA-2p49-45hj-7mc9

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) Backstage es un framework abierto para construir portales de desarrollador, y @backstage/cli-common proporciona funcionalidad de carga de configuración utilizada por el backend y la interfaz de línea de comandos de Backstage. Antes de la versión 0.1.17, la función de utilidad 'resolveSafeChildPath' en '@backstage/backend-plugin-api', que se utiliza para prevenir ataques de salto de ruta, no validaba correctamente las cadenas de enlaces simbólicos y los enlaces simbólicos colgantes. Un atacante podría eludir la validación de ruta a través de cadenas de enlaces simbólicos (creando 'link1 ? link2 ? /outside' donde los enlaces simbólicos intermedios finalmente se resuelven fuera del directorio permitido) y enlaces simbólicos colgantes (creando enlaces simbólicos que apuntan a rutas inexistentes fuera del directorio base, que luego se crearían durante las operaciones de archivo). Esta función es utilizada por las acciones de Scaffolder y otros componentes de backend para asegurar que las operaciones de archivo permanezcan dentro de los directorios designados. Esta vulnerabilidad se corrige en '@backstage/backend-plugin-api' versión 0.1.17. Los usuarios deben actualizar a esta versión o posterior. Hay disponibles algunas soluciones alternativas. Ejecute Backstage en un entorno en contenedores con acceso limitado al sistema de archivos y/o restrinja la creación de plantillas a usuarios de confianza.

21 Jan 2026, 23:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-01-21 23:15

Updated : 2026-04-15 00:35

NVD link : CVE-2026-24047

Mitre link : CVE-2026-24047

CVE.ORG link : CVE-2026-24047

JSON object : View

Products Affected

No product.

CWE

CWE-59

Improper Link Resolution Before File Access ('Link Following')

CWE-61

UNIX Symbolic Link (Symlink) Following

6.3 /10