Oxeyeは11月15日(現地時間)、「Unauthenticated Remote Code Execution in Spotify’s Backstage」において、SpotifyのBackstageに重大な脆弱性が存在すると伝えた。JavaScriptサンドボックスモジュール「vm2」の脆弱性を悪用することで、SpotifyのオープンソースプロジェクトであるBackstageでリモートコード実行(RCE: Remote Code Execution)されてしまうという。
Backstageは、SpotifyがGitHubに公開している開発者向けポータルを構築するためのオープンソースプラットフォーム。インフラストラクチャのツール、サービス、ドキュメントをすべて統合し、エンドツーエンドで合理的な開発環境を構築できるとされており、Spotifyのほか、アメリカン航空、Netflix、Splunk、Fidelity Investments、Epic Gamesなどさまざまな組織で使用されている。
Oxeyeのセキュリティ研究チームの調査により、Backstageにリモートコード実行の脆弱性が発見された。この脆弱性は最近発見されたvm2のサンドボックスを回避する脆弱性「CVE-2022-36067」(別名「Sandbreak」)に起因するとされている(参考「人気のNode.jsライブラリに深刻な脆弱性、ただちに確認と更新を | TECH+(テックプラス)」)。
発見されたこの問題はSpotifyのバグ報奨金プログラムを通じて報告されており、Backstageチームは迅速にパッチを適用した「Backstage 1.5.1」をリリースしている。また、この脆弱性の共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値は9.8とされており、緊急(Critical)に位置づけられている。
Backstageを使用している場合はできるだけ早く最新バージョンにアップデートし、この脆弱性から保護することが強く推奨されている。