Backstage 信息泄露漏洞CVE-2026-32237

Backstage 是 Spotify 开源、CNCF 孵化的开发者门户（IDP）构建框架，该产品核心是统一软件资产、聚合工具链、标准化研发流程。

一、基本情况

Backstage 采用三层架构+插件化设计，高度扩展，可视化关系网，解决微服务时代基础设施碎片化、服务管理混乱、研发效率低问题。

Backstage 统一入口、统一目录、统一流程，通过插件无缝集成企业现有工具，统一技术栈、规范流程、降低上手成本、提升交付速度。

栋科技漏洞库关注到 Backstage 3.1.5之前版本存在的信息泄露漏洞，该漏洞现已经被追踪为CVE-2026-32237，漏洞CVSS3.X评分4.4。

二、漏洞分析

CVE-2026-32237是一个信息泄露漏洞，源于具有执行脚手架试运行权限的已验证用户通过试运行API响应访问服务器配置的环境密钥。

该漏洞可能导致拥有执行脚手架预运行（dry‑run）权限的已认证用户，从而通过预运行 API 响应获取服务器配置的环境密钥。

日志输出中的密钥已正确脱敏，但响应载荷的部分字段未做脱敏处理。

配置了 scaffolder.defaultEnvironment.secrets 的部署环境均受此漏洞影响。

临时解决方案：

从 app-config.yaml 中删除或清空 scaffolder.defaultEnvironment.secrets 配置；或者通过权限框架限制对脚手架预运行功能的访问权限。

三、影响范围

plugin-scaffolder-backend < 3.1.5

 @backstage/plugin-scaffolder-backend < 3.1.5

四、修复建议

plugin-scaffolder-backend >= 3.1.5

 @backstage/plugin-scaffolder-backend >= 3.1.5

五、参考链接

管理员已设置登录后刷新可查看