CVE-2024-27199: Luka w JetBrains TeamCity umożliwiająca przejście po ścieżkach względnych

Wysokie ryzyko CVE-2024-27199 w JetBrains TeamCity umożliwia przejście po ścieżkach. Zalecana aktualizacja do wersji 2023.11.4 i monitorowanie systemu.
CVE-2024-27199CVSS 7.3CISA KEVKnown Exploited

CVE-2024-27199: Luka w JetBrains TeamCity umożliwiająca przejście po ścieżkach względnych

Wysokie ryzyko CVE-2024-27199 w JetBrains TeamCity umożliwia przejście po ścieżkach. Zalecana aktualizacja do wersji 2023.11.4 i monitorowanie systemu.

CVSS
7.3 HIGH
EPSS
99.99%
Aktywnie wykorzystywana
tak
Produkt
TeamCity

Co wiadomo

W JetBrains TeamCity w wersjach wcześniejszych niż 2023.11.4 wykryto lukę pozwalającą na przejście po ścieżkach względnych, co umożliwiało ograniczone działania administracyjne. Luka ta ma wysoką ocenę CVSS 7.3 i jest aktywnie wykorzystywana.

Wpływ biznesowy

Dla operatorów IT i właścicieli infrastruktury korzystających z TeamCity, luka ta może prowadzić do nieautoryzowanych działań administracyjnych, co zagraża integralności i bezpieczeństwu systemów CI/CD. Atakujący mogą wykorzystać tę podatność do eskalacji uprawnień i potencjalnego wpływu na procesy budowania i wdrażania oprogramowania.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację JetBrains TeamCity do wersji 2023.11.4 lub nowszej. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do systemu, monitorować logi pod kątem podejrzanych działań oraz przeprowadzić przegląd uprawnień użytkowników. Priorytetowo traktuj wdrożenie poprawek i stosuj zasady minimalnych uprawnień.

Źródła