SpotifyのBackstageに重大な脆弱性、ただちに確認とアップデートを

Oxeyeは11月15日(現地時間)、「Unauthenticated Remote Code Execution in Spotify’s Backstage」において、SpotifyのBackstageに重大な脆弱性が存在すると伝えた。JavaScriptサンドボックスモジュール「vm2」の脆弱性を悪用することで、SpotifyのオープンソースプロジェクトであるBackstageでリモートコード実行(RCE: Remote Code Execution)されてしまうという。

Backstageは、SpotifyがGitHubに公開している開発者向けポータルを構築するためのオープンソースプラットフォーム。インフラストラクチャのツール、サービス、ドキュメントをすべて統合し、エンドツーエンドで合理的な開発環境を構築できるとされており、Spotifyのほか、アメリカン航空、Netflix、Splunk、Fidelity Investments、Epic Gamesなどさまざまな組織で使用されている。