JetBrainsの開発支援ツールに深刻なRCE脆弱性 - アップデートを
JetBrainsが提供するCI/CDツール「TeamCity」に深刻な脆弱性「CVE-2024-23917」が明らかとなった。悪用されるとリモートよりコードを実行されるおそれがある。
同製品に認証回避の脆弱性「CVE-2024-23917」が明らかとなったもの。HTTP経由でアクセスできる場合、認証をバイパスして「TeamCityサーバ」の管理を行うことが可能となり、リモートよりコードを実行されるおそれがある。
「同2023.11.2」および「同2017.1」までの以前のバージョンが影響を受ける。外部セキュリティ専門家より1月19日に報告を受けたという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
同社は、「同2023.11.3」にて同脆弱性を修正しており、すべてのユーザーに対して最新版へアップデートするよう呼びかけている。またアップデートができないユーザーに対してはパッチを提供している。
クラウド版についてはすでにパッチを適用済みで、攻撃を受けていないことを確認したとしている。
(Security NEXT - 2024/02/13 )
ツイート
PR
関連記事
メール誤送信でアプリ会員のメアド流出 - 餃子専門店
Ivantiのリモートアクセス製品に脆弱性 - 「クリティカル」も複数
SaaS向けSPMを展開するAdaptive Shieldを買収 - CrowdStrike
ソフトウェア開発者のセキュリティ教育改善プラン - OpenSSF
Citrixの複数製品に脆弱性、アップデートで修正
子ども用サプリ通販サイト、委託先カートシステムに不正アクセス
サーバがランサム被害、詳細を調査 - 海運システム開発会社
WindowsやCisco ASAなど脆弱性5件の悪用に注意呼びかけ - 米当局
「Chrome 131」をリリース - 12件のセキュリティ修正
Adobeがパッチ公開、複数製品で「クリティカル」脆弱性を解消