CVE-2024-27199: Luka w JetBrains TeamCity umożliwiająca przejście po ścieżkach względnych
Wysokie ryzyko CVE-2024-27199 w JetBrains TeamCity umożliwia przejście po ścieżkach. Zalecana aktualizacja do wersji 2023.11.4 i monitorowanie systemu.
- CVSS
- 7.3 HIGH
- EPSS
- 99.99%
- Aktywnie wykorzystywana
- tak
- Produkt
- TeamCity
Co wiadomo
W JetBrains TeamCity w wersjach wcześniejszych niż 2023.11.4 wykryto lukę pozwalającą na przejście po ścieżkach względnych, co umożliwiało ograniczone działania administracyjne. Luka ta ma wysoką ocenę CVSS 7.3 i jest aktywnie wykorzystywana.
Wpływ biznesowy
Dla operatorów IT i właścicieli infrastruktury korzystających z TeamCity, luka ta może prowadzić do nieautoryzowanych działań administracyjnych, co zagraża integralności i bezpieczeństwu systemów CI/CD. Atakujący mogą wykorzystać tę podatność do eskalacji uprawnień i potencjalnego wpływu na procesy budowania i wdrażania oprogramowania.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację JetBrains TeamCity do wersji 2023.11.4 lub nowszej. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do systemu, monitorować logi pod kątem podejrzanych działań oraz przeprowadzić przegląd uprawnień użytkowników. Priorytetowo traktuj wdrożenie poprawek i stosuj zasady minimalnych uprawnień.