JetBrainsの「TeamCity」深刻な脆弱性 - 詳細も公開、早急に対処を

JetBrainsのソフトウェア開発支援ツール「TeamCity」に深刻な脆弱性が明らかになった。リモートよりサーバの管理権限を奪われるおそれがあり、同社は早急に対策を講じるよう呼びかけている。

「同2023.11.3」および以前のバージョンに認証をバイパスされる脆弱性「CVE-2024-27198」や、パストラバーサルの脆弱性「CVE-2024-27199」が明らかとなったもの。脆弱性を悪用されるとリモートよりサーバの認証を回避して管理権限を奪われるおそれがある。

2024年2月にRapid7が発見したもので、外部へ非公開のもと報告された。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「CVE-2024-27198」が「9.8」、「CVE-2024-27199」が「7.3」となっており、それぞれ重要度は「クリティカル（Critical）」「高（High）」とレーティングされている。

同社は現地時間3月4日にリリースした「同2023.11.4」で、これら脆弱性を含め4件のセキュリティに関する修正を実施した。同バージョンへアップデートできない環境向けにパッチプラグインも用意しており、早急に対策を講じるよう利用者に呼びかけている。

同社が提供するクラウド版についてはすでにパッチを適用しており、攻撃などは確認されていないという。脆弱性を報告したRapid7では、パッチのリリースなどを受け、脆弱性の詳細について公開した。

なお「TeamCity」に関しては、これら脆弱性以外にも「クリティカル（Critical）」とされる脆弱性「CVE-2024-23917」なども判明しており、JetBrainsでは「同2023.11.3」にて修正したことを明らかにしている。

（Security NEXT - 2024/03/05 ） ツイート

PR

関連記事

ハウステンボスへのサイバー攻撃 - 個人情報流出の可能性
「Chromium」ゼロデイ脆弱性、Macに影響 - 米当局が注意喚起
「Plesk」Linux版に権限昇格の脆弱性 - アップデートで修正
先週注目された記事（2025年12月7日〜2025年12月13日）
ウェブメール「Roundcube」にXSSなど脆弱性 - 更新を強く推奨
【特別企画】最先端企業が直面した「AIセキュリティの盲点」とは？ - 生成AIテーマにカンファレンス
「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
県サイト資料に非公開の個人情報、マスキング未処理 - 静岡県
職員用グループウェアがランサム被害、生徒情報流出か - 向上学園