89/67 (IT) ประจำวันพุธที่ 6 มีนาคม 2567

นักวิจัยของ Rapid7 ได้เปิดเผยช่องโหว่ด้านความปลอดภัยที่สำคัญใหม่ 2 รายการ ใน JetBrains TeamCity เวอร์ชัน On-Premises คือ CVE-2024-27198 (คะแนน CVSS: 9.8) เป็นช่องโหว่ในการข้ามการรับรองความถูกต้องในองค์ประกอบเว็บของ TeamCity ที่เกิดขึ้นจากปัญหาเส้นทางอื่น และ CVE-2024-27199 (คะแนน CVSS: 7.3) เป็นช่องโหว่ในการข้ามการตรวจสอบความถูกต้องในองค์ประกอบเว็บของ TeamCity ที่เกิดขึ้นจากปัญหาการข้ามเส้นทาง โดยช่องโหว่อาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องด้วยการเข้าถึง HTTP (S) ไปยังเซิร์ฟเวอร์ TeamCity เพื่อเลี่ยงผ่านการตรวจสอบการรับรองความถูกต้อง และได้รับการควบคุมดูแลระบบของเซิร์ฟเวอร์ TeamCity นั้น โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อเวอร์ชัน TeamCity On-Premises ทั้งหมดจนถึงเวอร์ชัน 2023.11.3 แต่ได้รับการแก้ไขด้วยการเปิดตัวเป็นเวอร์ชัน 2023.11.4 แล้ว โดยบริษัทยังได้เปิดตัวปลั๊กอินแพตช์รักษาความปลอดภัยสำหรับลูกค้าที่ไม่สามารถแพตช์ระบบของตนได้ โดยเมื่อเร็วๆ นี้ JetBrains ก็ได้แก้ไขช่องโหว่ที่สำคัญอีกจุดหนึ่งในเซิร์ฟเวอร์ TeamCity ไปแล้ว โดยมีหมายเลขคือ CVE-2024-23917 (คะแนน CVSS: 9.8) ซึ่งอาจถูกใช้โดยผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องเพื่อให้สามารถควบคุมดูแลระบบของเซิร์ฟเวอร์
แหล่งข่าว https://securityaffairs.com/159995/security/jetbrains-teamcity-flaws.html