JetBrainsの「TeamCity」深刻な脆弱性 - 詳細も公開、早急に対処を

JetBrainsのソフトウェア開発支援ツール「TeamCity」に深刻な脆弱性が明らかになった。リモートよりサーバの管理権限を奪われるおそれがあり、同社は早急に対策を講じるよう呼びかけている。

「同2023.11.3」および以前のバージョンに認証をバイパスされる脆弱性「CVE-2024-27198」や、パストラバーサルの脆弱性「CVE-2024-27199」が明らかとなったもの。脆弱性を悪用されるとリモートよりサーバの認証を回避して管理権限を奪われるおそれがある。

2024年2月にRapid7が発見したもので、外部へ非公開のもと報告された。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「CVE-2024-27198」が「9.8」、「CVE-2024-27199」が「7.3」となっており、それぞれ重要度は「クリティカル（Critical）」「高（High）」とレーティングされている。

同社は現地時間3月4日にリリースした「同2023.11.4」で、これら脆弱性を含め4件のセキュリティに関する修正を実施した。同バージョンへアップデートできない環境向けにパッチプラグインも用意しており、早急に対策を講じるよう利用者に呼びかけている。

同社が提供するクラウド版についてはすでにパッチを適用しており、攻撃などは確認されていないという。脆弱性を報告したRapid7では、パッチのリリースなどを受け、脆弱性の詳細について公開した。

なお「TeamCity」に関しては、これら脆弱性以外にも「クリティカル（Critical）」とされる脆弱性「CVE-2024-23917」なども判明しており、JetBrainsでは「同2023.11.3」にて修正したことを明らかにしている。

（Security NEXT - 2024/03/05 ） ツイート

PR

関連記事

サイバー攻撃でシステム障害が発生 - B＆G財団
サーバやNASに第三者がアクセス - 東北大や同大病院
ファイル転送サーバに不正アクセス、個人情報流出か - 沖縄総合事務局
「PyTorch Lightning」に不正コード - 認証情報窃取のおそれ
「Spring Cloud Config」にパストラバーサルなど複数脆弱性
「Apache HTTP Server」に複数脆弱性 - 更新を呼びかけ
先週注目された記事（2026年4月26日〜2026年5月2日）
「Chrome 148」が公開、脆弱性127件を修正 - 「クリティカル」も複数
Palo Alto Networks製「PAN-OS」に深刻な脆弱性 - すでに悪用も
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み