JetBrains TeamCity 身份验证绕过漏洞

admin
admin
admin
102421
文章
87
评论
2024年3月13日11:45:59评论6 views字数 916阅读3分3秒阅读模式

JetBrains TeamCity 身份验证绕过漏洞

JetBrains TeamCity 身份验证绕过漏洞

(CVE-2024-27198)

JetBrains TeamCity是一款著名的持续集成与持续部署(CI/CD)工具,广泛应用于软件开发过程中自动化构建、测试和部署等环节。TeamCity支持多种编程语言和平台,提供了高度可配置的构建流程、代码质量检查、项目依赖管理等功能,帮助开发团队提高软件开发效率和质量。

01 漏洞描述

漏洞类型:JetBrains TeamCity 身份验证绕过漏洞

简述:CVE-2024-27198是一个在JetBrains TeamCity中发现的关键级别的身份验证绕过漏洞。攻击者可以利用此漏洞未经授权地绕过身份验证机制,获得TeamCity服务器的管理控制权。此外,CVE-2024-27199也是一个通过路径遍历实现的身份验证绕过漏洞,尽管严重性较低,但仍然可能被未经授权的攻击者利用
漏洞等级严重

JetBrains TeamCity 身份验证绕过漏洞

02 漏洞影响版本

这些漏洞影响所有TeamCity On-Premises版本,直到2023.11.3为止。TeamCity Cloud的服务器已经被修补,且没有被攻击的迹象

03 漏洞修复方案

JetBrains已经在TeamCity版本2023.11.4中修复了这些漏洞,并强烈建议所有用户尽快升级到最新版本。对于无法立即升级的用户,JetBrains还提供了一个安全补丁插件作为临时的解决措施。Rapid7,这些漏洞的发现者,已根据其自己的漏洞披露政策,在发表这些漏洞的技术细节后24小时内公布了完整的技术细节,因此升级或应用安全补丁的紧迫性非常高。
考虑到CVE-2024-27198的严重性以及潜在的利用风险,使用JetBrains TeamCity的组织应优先考虑应用这些补丁或更新,以保护其环境免受未经授权的访问和控制。

04 参考链接

https://net.njfu.edu.cn/2024/0306/c1363a11888/page.htm

https://cert.360.cn/warning/detail?id=65e82cf0c09f255b91b17e65

END

JetBrains TeamCity 身份验证绕过漏洞

JetBrains TeamCity 身份验证绕过漏洞

原文始发于微信公众号(锋刃科技):JetBrains TeamCity 身份验证绕过漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月13日11:45:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   JetBrains TeamCity 身份验证绕过漏洞http://cn-sec.com/archives/2571830.html

发表评论

匿名网友 填写信息