Backstage: Catalog unprocessed read endpoints allow authenticated cross-owner data access without permission checks — CVE-2026-44374
GHSA · GitHub · CVE-2026-44374
ID
CVE-2026-44374
CVE-2026-44374
Datum
Aktualisiert
Activity
Quelle
GHSA
GHSA
Vendor
GitHub
GitHub
Risiko
medium
medium
CVSS
4.3
4.3
Zusammenfassung
### Impact The unprocessed entities read endpoints in `@backstage/plugin-catalog-backend-module-unprocessed` do not enforce permission authorization checks. Any authenticated user can access unprocessed entity records regardless of ownership. This is an information disclosure vulnerability affecting Backstage installations using this module. ### Patches This is patched in…
Produkt
npm: @backstage/plugin-catalog-unprocessed-entities-common | npm: @backstage/plugin-catalog-unprocessed-entities | npm: @backstage/plugin-catalog-backend-module-unprocessed
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.