6.2. Red Hat Developer Hub 1.4.0
6.2.1. Red Hat Developer Hub 依赖项更新
- CVE-2024-21536
- http-proxy-middleware 软件包中发现了一个安全漏洞。因为 UnhandledPromiseRejection 错误导致这个软件包的拒绝拒绝服务(DoS)受到微匹配的影响。通过这个漏洞,攻击者可以通过请求某些路径来终止 Node.js 进程并使服务器崩溃。
- CVE-2024-21538
- Node.js 的 cross-spawn 软件包中发现了一个 Service (ReDoS)漏洞的常规 Expression Denial。由于输入不正确,攻击者可以增加 CPU 使用量并使程序具有较大的特制字符串使程序崩溃。
- CVE-2024-45296
- 在 path-to-regexp 软件包中发现了一个安全漏洞,它会将路径字符串转换为正则表达式。在某些情况下,path-to-regexp 将输出一个可以利用的正则表达式来降低性能。因为 JavaScript 是单线程和正则表达式匹配,所以在主线程上运行,性能不佳会阻断事件循环,并导致拒绝服务(DoS)。
- CVE-2024-45590
- 在 body-parser 中发现了一个安全漏洞。此漏洞会在启用 URL 编码时通过特殊设计的有效负载拒绝服务。
- CVE-2024-45815
- 在 back/plugin-catalog-backend 软件包中发现了一个安全漏洞。对安装了 catalog backend 插件的 Backstage 实例具有验证访问权限的恶意参与者,可以使用对目录 API 特殊设计的查询来中断服务。
- CVE-2024-45816
- 在 backstage/plugin-wagon-backend 软件包中发现了一个目录遍历漏洞。将 AWS S3 或 GCS 存储供应商用于 TechDocs 时,可以访问整个存储桶中的内容。这可能会泄漏存储桶的内容,并绕过 Backstage 中的权限检查。
- CVE-2024-46976
- 在 backstage/plugin-backend 软件包中发现了一个安全漏洞。控制对 TechDocs 存储存储桶内容的攻击者,可以在浏览文档或导航到攻击者提供的链接时在 TechDocs 内容中注入可执行脚本。
- CVE-2024-47762
- 在 backstage/plugin-app-backend 软件包中发现了一个安全漏洞。通过 APP_CONFIG swig 环境变量提供的配置意外忽略配置模式中定义的可见性,可能会公开旨在保持私有或仅限于后端进程的敏感配置详情。
