Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Falla crítica de RCE reportada en el catálogo de software backstage y la plataforma de desarrolladores de Spotify
  • Tecnología

Falla crítica de RCE reportada en el catálogo de software backstage y la plataforma de desarrolladores de Spotify

teknomers 15 de Kasım de 2022 (Last updated: 15 de Kasım de 2022) 3 minutes read
Falla crítica de RCE reportada en el catálogo de software


Backstage de Spotify ha sido descubierto como vulnerable a una grave falla de seguridad que podría explotarse para obtener la ejecución remota de código al aprovechar un error recientemente revelado en un módulo de terceros.

La vulnerabilidad (puntaje CVSS: 9.8), en esencia, aprovecha un escape crítico de sandbox en vm2, una popular biblioteca de sandbox de JavaScript (CVE-2022-36067, también conocida como Sandbreak), que salió a la luz el mes pasado.

“Un actor de amenazas no autenticado puede ejecutar comandos de sistema arbitrarios en una aplicación Backstage al explotar un escape de sandbox vm2 en el complemento principal de Scaffolder”, dijo la firma de seguridad de aplicaciones Oxeye en un comunicado. reporte compartido con The Hacker News.

Entre bastidores es una fuente abierta portal para desarrolladores de Spotify que permite a los usuarios crear, administrar y explorar componentes de software desde un “puerta principal.” Es usado por muchas compañías como Netflix, DoorDash, Roku y Expedia, entre otros.

Según Oxeye, la falla tiene sus raíces en una herramienta llamada plantillas de software que se puede utilizar para crear componentes dentro de Backstage.

Catálogo de software backstage y plataforma para desarrolladores
La captura de pantalla muestra a Backstage llamando a la función renderTemplate (que llama a renderString2) dos veces en caso de error.

Si bien el motor de plantilla utiliza vm2 para mitigar el riesgo asociado con la ejecución de código que no es de confianza, la falla de escape de sandbox en este último hizo posible ejecutar comandos arbitrarios del sistema fuera del perímetro de seguridad.

Oxeye dijo que pudo identificar más de 500 instancias de Backstage expuestas públicamente en Internet, que luego podrían ser armadas de forma remota por un adversario sin necesidad de autorización.

La seguridad cibernética

Luego de la divulgación responsable el 18 de agosto, los mantenedores del proyecto abordaron el problema en versión 1.5.1 publicado el 29 de agosto de 2022.

“La raíz de cualquier escape de VM basado en plantillas es obtener derechos de ejecución de JavaScript dentro de la plantilla”, señaló la compañía israelí. “Mediante el uso de motores de plantillas ‘sin lógica’ como Bigotepuede evitar la introducción de vulnerabilidades de inyección de plantillas del lado del servidor”.

“Separar la lógica de la presentación tanto como sea posible puede reducir en gran medida su exposición a los ataques basados ​​en plantillas más peligrosos”, agregó.



ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Ministerio: la contracción es la única opción para limitar las molestias por ruido en Schiphol
Next: “Un ataque a un aliado se considera un ataque a todos los aliados”: así dice la política de la OTAN sobre incidentes en territorio

Related Stories

El iPhone 18 Pro Max contaría con una batería gigantesca
  • Tecnología

El iPhone 18 Pro Max contaría con una batería gigantesca

teknomers 2 de Temmuz de 2026
SK Hynix va a invertir más de 56 mil millones
  • Tecnología

SK Hynix va a invertir más de 56 mil millones de euros en nuevas fábricas de producción de chips

teknomers 2 de Temmuz de 2026
Gemini: Google prueba la IA que ve la carretera en
  • Tecnología

Gemini: Google prueba la IA que ve la carretera en coches

teknomers 2 de Temmuz de 2026

You May Have Missed

  • General

Donación de Taylor Swift: Taylor Swift y Travis Kelce donan $26 millones a la caridad antes de la supuesta celebración de su boda – ¿por qué se benefician bancos de alimentos, hospitales infantiles y escuelas en todo el país?

teknomers 2 de Temmuz de 2026
  • General

Hasta 80 euros de multa: Salzburgo declara la guerra a los coches de los turistas en su centro histórico

teknomers 2 de Temmuz de 2026
  • General

Lección de vida sobre la no violencia en la resolución de conflictos: Proverbio griego del día: ‘Gana por persuasión, no por…’ – este inspirador dicho griego enseña lecciones de vida sobre por qué los grandes líderes nunca confían en la fuerza y por qué la comunicación es más poderosa que la autoridad.

teknomers 2 de Temmuz de 2026
  • Deporte

Resultados de Wimbledon 2026: Katie Boulter y Heather Watson entre las jugadoras británicas eliminadas en dobles

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.