O Backstage do Spotify foi descoberto como vulnerável a uma falha de segurança que pode ser explorada para obter execução remota de código, aproveitando um bug recentemente divulgado em um módulo de terceiros.

A vulnerabilidade (pontuação CVSS: 9.8), em sua essência, tira proveito de um escape crítico de sandbox na vm2, uma popular biblioteca de sandbox JavaScript (CVE-2022-36067 também conhecida como Sandbreak), que veio à tona no mês passado.

Backstage é um portal de código aberto do Spotify que permite aos usuários criar, gerenciar e explorar componentes de software a partir de uma porta unificada.

É usado por muitas empresas como Netflix, DoorDash, Roku e Expedia, entre outras. Segundo a empresa de segurança de aplicativos Oxeye, “Um agente de ameaças não autenticado pode executar comandos arbitrários do sistema em um aplicativo do Backstage explorando um escape de sandbox vm2 no plug-in principal do Scaffolder”.

A Oxeye disse que conseguiu identificar mais de 500 instâncias do Backstage expostas publicamente na internet, que poderiam ser armadas remotamente por um adversário sem exigir qualquer autorização.