Критическая уязвимость в ПО непрерывной интеграции JetBrains TeamCity может использоваться неаутентифицированными злоумышленниками для удаленного выполнения кода и захвата уязвимых серверов.

Проблема, получившая идентификатор CVE-2023-42793 и оценивающаяся в 9,8 балла по шкале CVSS, была устранена в версии TeamCity 2023.05.4.

«Злоумышленники могут использовать эту уязвимость для кражи исходного кода, служебных секретов и закрытых ключей, получения контроля над подключенными build-агентами и отравления build-артефактов», — рассказывают исследователи из компании Sonar Source, обнаружившие проблему.

Кроме того, эксперты предупреждают, что успешная эксплуатация проблемы позволяет получить доступ к конвейерам сборки и внедрить произвольный код, что может привести к нарушению целостности и компрометации цепочки поставок.

Отмечается, что проблема весьма проста в эксплуатации, и специалисты Sonar Source опасаются, что уязвимость скоро будет использована хакерами в широкомасштабных атаках.

Разработчики JetBrains уже опубликовали собственный бюллетень безопасности, в котором рекомендуют пользователям как можно скорее установить обновления. Компания также выпустила специальный плагин для TeamCity версии 8.0 и выше, специально предназначенный для устранения этой уязвимости.

По данным JetBrains, багу подвержены все on-premises экземпляры TeamCity, вплоть до версии 2023.05.3 включительно. На сервис TeamCity Cloud уязвимость не распространяется.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии