В программном обеспечении JetBrains TeamCity On-Premises были обнаружены две новые уязвимости безопасности, которые могут быть использованы злоумышленниками для захвата контроля над затронутыми системами.
Уязвимости, получившие идентификаторы CVE-2024-27198 с оценкой критичности по CVSS 9.8 и CVE-2024-27199 с оценкой 7.3, затрагивают все версии TeamCity On-Premises до 2023.11.3 включительно.
Как указано в сообщенииJetBrains, “уязвимости позволяют неаутентифицированному злоумышленнику с доступом по HTTP(S) к серверу TeamCity обойти проверку подлинности и получить административный контроль над сервером”.
“Компрометация сервера TeamCity позволяет атакующему полностью контролировать все проекты, сборки, агенты и артефакты TeamCity, что делает его подходящим инструментом для проведения атак на цепочки поставок”, – указывается в отчётекомпании Rapid7, специалисты которой и выявили обе уязвимости.
CVE-2024-27199 также связана с обходом аутентификации из-за проблемы типа
Таким образом, хакер может обойти ограничения доступа и читать, а иногда и изменять файлы, к которым обычно доступ ограничен. Недостаток позволяет получить несанкционированный доступ к конфиденциальным данным.