Исследователи Oxeye обнаружили более 500 открытых экземпляров Backstage, которые могли быть использованы злоумышленниками.
Согласно последнему отчету компании Oxeye, рассказывали в прошлом месяце.
Как говорят эксперты компании, брешь в защите кроется в инструменте под названием “software templates”, который используется для создания компонентов в Backstage. Поэтому, в то время как шаблонизатор использует vm2 для снижения рисков, связанных с запуском ненадежного кода, Sandbreak позволяет выполнять произвольные шелл-команды в системе жертвы.
Oxeye заявила, что ей удалось обнаружить в Сети более 500 открытых экземпляров Backstage, которые могли быть удаленно использованы злоумышленниками без какой-либо авторизации.
Известно, что уязвимость была устранена сопровождающими Backstage уже давно – в версии 1.5.1, выпущенной 29 августа 2022 года.
