CI/CD工具—TeamCity被曝出两个严重漏洞

JetBrains 修复了两个影响 TeamCity On-Premises 的严重安全漏洞（CVE-2024-27198、CVE-2024-27199），并敦促客户立即修补它们。“Rapid7 最初发现并向我们报告了这些漏洞，并选择严格遵守自己的漏洞披露政策。这意味着他们的团队将在收到通知后 24 小时内发布这些漏洞的完整技术细节及其复制步骤。”该公司今天表示。这也意味着概念验证和充分利用可能会迅速浮出水面并得到利用。关于漏洞（CVE-2024-27198、CVE-2024-27199）JetBrains 的 TeamCity 是一款持续集成和持续交付 (CI/CD) 服务器，其中的漏洞最近被俄罗斯和朝鲜国家支持的攻击者利用。CVE-2024-27198 可能允许未经身份验证的远程攻击者危害易受攻击的 TeamCity 服务器，并通过创建新的管理员用户或生成新的管理员访问令牌来控制与服务器关联的所有项目、构建、代理和工件。这使得该漏洞成为发起供应链攻击的理 ………………………………