JetBrainsの「TeamCity」深刻な脆弱性 - 詳細も公開、早急に対処を

JetBrainsのソフトウェア開発支援ツール「TeamCity」に深刻な脆弱性が明らかになった。リモートよりサーバの管理権限を奪われるおそれがあり、同社は早急に対策を講じるよう呼びかけている。

「同2023.11.3」および以前のバージョンに認証をバイパスされる脆弱性「CVE-2024-27198」や、パストラバーサルの脆弱性「CVE-2024-27199」が明らかとなったもの。脆弱性を悪用されるとリモートよりサーバの認証を回避して管理権限を奪われるおそれがある。

2024年2月にRapid7が発見したもので、外部へ非公開のもと報告された。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「CVE-2024-27198」が「9.8」、「CVE-2024-27199」が「7.3」となっており、それぞれ重要度は「クリティカル（Critical）」「高（High）」とレーティングされている。

同社は現地時間3月4日にリリースした「同2023.11.4」で、これら脆弱性を含め4件のセキュリティに関する修正を実施した。同バージョンへアップデートできない環境向けにパッチプラグインも用意しており、早急に対策を講じるよう利用者に呼びかけている。

同社が提供するクラウド版についてはすでにパッチを適用しており、攻撃などは確認されていないという。脆弱性を報告したRapid7では、パッチのリリースなどを受け、脆弱性の詳細について公開した。

なお「TeamCity」に関しては、これら脆弱性以外にも「クリティカル（Critical）」とされる脆弱性「CVE-2024-23917」なども判明しており、JetBrainsでは「同2023.11.3」にて修正したことを明らかにしている。

（Security NEXT - 2024/03/05 ） ツイート

PR

関連記事

ブラウザ「Chrome」にゼロデイ脆弱性 - 悪用を確認
「SecHack365」の成果発表会、都内で2月28日に開催
公務員採用試験受験者の個人情報含む書類が所在不明 - 人事院
クラウドに不正アクセス、個人情報流出の可能性 - マイナビ
ファイル転送製品「FileZen」にRCE脆弱性 - すでに悪用被害も
JNSA、SecBoK人材スキルマップ2025年度版を公開 - 15の役割に再編
リフト券システムがランサム被害、個人情報流出の可能性 - ガーラ湯沢
手荷物配送サービス予約システムに攻撃、個人情報流出の可能性 - JAL
「SandboxJS」に脆弱性 - 1月下旬以降「クリティカル」7件目
「SandboxJS」に新たなクリティカル脆弱性4件 - 修正実施