JetBrainsの開発者向けツールに深刻な脆弱性 - アカウント乗っ取りのおそれも
JetBrainsは、2021年度第2四半期のセキュリティアップデートとして、「JetBrains Hub」をはじめ、「TeamCity」「YouTrack」など複数の製品における脆弱性を修正した。深刻な脆弱性も含まれる。
コラボレーションツールの統合サーバ「JetBrains Hub」では、アカウントの乗っ取りが可能となる脆弱性など3件の脆弱性に対処した。
具体的には、パスワードリセットを悪用してアカウントの乗っ取りが可能となる脆弱性「CVE-2021-36209」を修正した。
同社では、同脆弱性の重要度を4段階中2番目にあたる「High」としているが、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを、最大10のところ「9.8」、「クリティカル(Critical)」と評価している。
このほか、不十分なコンテンツセキュリティポリシーを利用する「CVE-2021-37540」や、パスワードリセットメールにHTMLが挿入可能となる脆弱性「CVE-2021-37541」に対処した。
(Security NEXT - 2021/08/18 )
ツイート
PR
関連記事
Zyxel製NASに脆弱性 - アップデートの適用を
ZyxelのNAS製品にゼロデイ脆弱性 - 悪用コードが闇市場に
5月下旬に修正されたZyxel製品の脆弱性、早くも攻撃の標的に
シスコのビデオ会議サーバに脆弱性 - 重要度「クリティカル」も
「Aria Operations for Networks」に深刻な脆弱性 - 修正パッチの適用を
「Firefox 114」がリリース - 複数脆弱性を解消
「MS Edge 114.0.1823.41」をリリース - ゼロデイ脆弱性を解消
「MOVEit Transfer」のゼロデイ脆弱性 - 90日遡って侵害確認を
「Rancher」に深刻な脆弱性 - 管理者権限を取得されるおそれ
「curl」に複数の脆弱性 - アップデートにて修正