漏洞信息 标题 Symlink Chain Bypass 严重性 Moderate 受影响版本 =0.1.17 影响 工具函数在 中未能正确验证符号链接链和悬空符号链接,允许攻击者绕过路径验证。 问题 1. 符号链接链:创建 ,其中中间符号链接最终解析到允许目录之外的路径。 2. 悬空符号链接:创建指向不存在路径的符号链接,这些路径将在文件操作期间在基本目录之外创建。 修复措施 此漏洞已修复在 版本 X.X.X 中。 临时解决方案 在文件系统访问受限的容器化环境中运行 Backstage。 限制模板创建仅限受信用户。 参考 CWE-59: 不当的链接解析 CWE-61: UNIX 符号链接(Symlink)跟随 其他信息 CVSS v3 基本指标 - 攻击向量: 网络 - 攻击复杂性: 高 - 所需特权: 低 - 用户交互: 无 - 范围: 改变 - 保密性: 高 - 完整性: 无 - 可用性: 无 CVE ID: CVE-2026-24047 弱点: CWE-59, CWE-61