Spotify最大的项目之一有一个相当严重的安全漏洞

在后台，Spotify用于构建开发人员门户的开放平台项目存在一个严重程度很高的漏洞，该漏洞允许潜在的威胁参与者远程执行项目中未经身份验证的代码。该漏洞由云原生应用程序安全提供商Oxeye发现，随后由Spotify修补。

敦促用户将Backstage更新到1.5.1版本，该版本修复了该问题。

Oxeye的研究人员在解释他们是如何发现该漏洞时表示，他们通过vm2中的第三方库利用了VM沙箱逃逸，从而能够进行未经身份验证的远程代码执行。

Oxeye软件架构师YuvalOstrovsky表示：“通过利用默认使用的Scaffolder核心插件中的vm2沙箱逃逸，未经身份验证的威胁参与者能够在Backstage应用程序上执行任意系统命令。”“像这样的关键云原生应用程序漏洞正变得越来越普遍，立即解决这些问题至关重要。”

“在这种情况下引起我们注意的是后台软件模板和基于模板的攻击的可能性，”Oxeye研究主管DanielAbeles说。“在审查如何限制这种风险时，我们注意到模板引擎可以被操纵通过在隔离环境之外使用用户控制的模板和Nunjucks来运行shell命令。”

Backstage的目标是通过统一所有基础设施工具、服务和文档来简化开发环境。据Oxeye称，它在GitHub上拥有超过19,000颗星，使其成为构建开发者门户的最受欢迎的开源平台之一。Spotify、美国航空公司、Netflix、Splunk、FidelityInvestments、EpicGames和PaloAltoNetworks只是部分使用Backstage的公司。

研究人员进一步解释了问题和可能的补救措施，表示基于模板的VM逃逸的根能够在模板内获得JavaScript执行权。据解释，诸如Mustache之类的无逻辑模板引擎可防止引入服务器端模板注入，从而消除该问题。

“如果在应用程序中使用模板引擎，请确保选择与安全相关的正确引擎。强大的模板引擎非常有用，但可能会给组织带来风险，”Oxeye高级安全研究员GalGoldshtein说。“如果使用Backstage，我们强烈建议尽快更新到最新版本以防御该漏洞。”